Na konci minulého týdne se Internetem začal úspěšně šířit červ Sobig.E. Jeho autor tentokrát vyzkoušel v jakém rozsahu se bude šířit jestliže bude zabalen do archivu a pro jeho aktivaci bude nutná spolupráce budoucí oběti.
Díky zazipování červ projde přes filtry příloh na poštovních branách firem. Na těchto branách správci pošty většinou rovnou zahazují soubory příloh s koncovkami .SCR, .PIF, .VBS a podobně, ať už je v nich cokoli. Jen ten nejparanoidnější postmaster bude zahazovat soubory s přílohami *.ZIP.
Jestliže tedy vir přijde do firmy dříve než aktualizace používaného antivirového systému, má šanci projít a stačí jen u uživatele vyvolat takovou míru zvědavosti, aby přílohu rozbalil a vložený soubor spustil. Což se nezřídka stalo a následkem toho zde máme epidemii velkého rozsahu. 151 tisíc zachycených exemplářů ve 143 zemích světa a první místo ve statistice MessageLabs.
Popis viru
Adresa odesilatele je podvržená (falešná), např. support@yahoo.com.
Jako předmět může být použit jeden z následujících textů:
- Re: Application
- Re: Movie
- Re: Movies
- Re: Submitted
- Re: ScRe:ensaver
- Re: Documents
- Re: Re: Application ref 003644
- Re: Re: Document
- Your application
- Application.pif
- Applications.pif
- movie.pif
- Screensaver.scr
- submited.pif
- new document.pif
- Re: document.pif
- 004448554.pif
- Referer.pif
Text e-mailu je „Please see the attached zip file for details.“
Jména přílohy a vloženého souboru (v závorce) jsou tyto:
- Your_details.zip (Details.pif)
- Application.zip (Application.pif)
- Document.zip (Document.pif)
- Screensaver.zip (Sky.world.scr)
- Movie.zip (Movie.pif)
Jejich velikost je 82 195 B (zip),resp. 86 528 B (vložený soubor).
Jak je u Sobig-u tradicí, jeho životnost je omezena. Přestane se šířit, jestliže je datum v systému vyšší než 13. červenec.
Je-li spuštěn, uloží svou kopii do složky Windows (standardně C:\Windows resp. C:\WinNT) pod názvem winssk32.exe. Zápisem do registru si zajistí další spuštění. E-mailové adresy dalších obětí sbírá v souborech .wab, .dbx, .htm, .html, .eml a .txt. Snaží se šířit i po síti, kopíruje se do složek Po spuštění.
Odstranění
Zbavit se jej dá buď ručně - smazáním souboru winssk32.exe (v nouzovém režimu nebo po ukončení tohoto procesu ve Správci úloh) a odstraněním zápisu "SSK Service"="%Windir%\winssk32.exe"
v registru z větve
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Ve Windows NT, 2000 a XP ještě i z
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Anebo některým z čističů:
Symantec W32.Sobig.E@mm Removal Tool (164 kB)
Popis utility, Stažení
Network Associates Stinger 1.7.4 (660 kB)
Popis utility, Stažení
F-Secure F-Sobig utility (47 kB)
Popis utility, Stažení