Sobig.E – překvapení pro zvědavé

Na konci minulého týdne se Internetem začal úspěšně šířit červ Sobig.E. Jeho autor tentokrát vyzkoušel v jakém rozsahu se bude šířit jestliže bude zabalen do archivu a pro jeho aktivaci bude nutná spolupráce budoucí oběti.

Díky zazipování červ projde přes filtry příloh na poštovních branách firem. Na těchto branách správci pošty většinou rovnou zahazují soubory příloh s koncovkami .SCR, .PIF, .VBS a podobně, ať už je v nich cokoli. Jen ten nejparanoidnější postmaster bude zahazovat soubory s přílohami *.ZIP.

Jestliže tedy vir přijde do firmy dříve než aktualizace používaného antivirového systému, má šanci projít a stačí jen u uživatele vyvolat takovou míru zvědavosti, aby přílohu rozbalil a vložený soubor spustil. Což se nezřídka stalo a následkem toho zde máme epidemii velkého rozsahu. 151 tisíc zachycených exemplářů ve 143 zemích světa a první místo ve statistice MessageLabs.

Popis viru

Adresa odesilatele je podvržená (falešná), např. support@yahoo.com.

Jako předmět může být použit jeden z následujících textů:

  • Re: Application
  • Re: Movie
  • Re: Movies
  • Re: Submitted
  • Re: ScRe:ensaver
  • Re: Documents
  • Re: Re: Application ref 003644
  • Re: Re: Document
  • Your application
  • Application.pif
  • Applications.pif
  • movie.pif
  • Screensaver.scr
  • submited.pif
  • new document.pif
  • Re: document.pif
  • 004448554.pif
  • Referer.pif

Text e-mailu je „Please see the attached zip file for details.“

Jména přílohy a vloženého souboru (v závorce) jsou tyto:

  • Your_details.zip (Details.pif)
  • Application.zip (Application.pif)
  • Document.zip (Document.pif)
  • Screensaver.zip (Sky.world.scr)
  • Movie.zip (Movie.pif)

Jejich velikost je 82 195 B (zip),resp. 86 528 B (vložený soubor).

Jak je u Sobig-u tradicí, jeho životnost je omezena. Přestane se šířit, jestliže je datum v systému vyšší než 13. červenec.

Je-li spuštěn, uloží svou kopii do složky Windows (standardně C:\Windows resp. C:\WinNT) pod názvem winssk32.exe. Zápisem do registru si zajistí další spuštění. E-mailové adresy dalších obětí sbírá v souborech .wab, .dbx, .htm, .html, .eml a .txt. Snaží se šířit i po síti, kopíruje se do složek Po spuštění.

Odstranění

Zbavit se jej dá buď ručně - smazáním souboru winssk32.exe (v nouzovém režimu nebo po ukončení tohoto procesu ve Správci úloh) a odstraněním zápisu "SSK Service"="%Windir%\winssk32.exe" v registru z větve

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Ve Windows NT, 2000 a XP ještě i z

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Anebo některým z čističů:

Symantec W32.Sobig.E@mm Removal Tool (164 kB)
Popis utility, Stažení

Network Associates Stinger 1.7.4 (660 kB)
Popis utility, Stažení

F-Secure F-Sobig utility (47 kB)
Popis utility, Stažení

Určitě si přečtěte

Články odjinud