Descrizione Breve

Una nuova variante del worm Sobig (Sobig.C) ha cominciato a diffondersi. Arriva tramite e-mail utilizzando allegati con estensioni PIF e SCR. Il mittente della e-mail è "bill@microsoft.com". Questa variante si propaga anche utilizzando gli share di rete.

Il worm Sobig.C è stato rilevato per la prima volta nella tarda serata del 31 Maggio 2003. Dal 1 Giugno è stata rilevata la sua presenza in molti paesi. Sono state rilasciate le impronte per la rilevazione.

Tool per la rimozione

F-Secure ha creato un tool per la rimozione di Sobig.F. Il tool e' disponibile in:

ftp://ftp.f-secure.com/anti-virus/tools/f-sobig.zip

Istruzioni per la rimozione:

ftp://ftp.f-secure.com/anti-virus/tools/f-sobig.txt

Infezione

Il worm copia se stesso all'interno della cartella di Windows con il nome

mscvb32.exe

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
System MScvb = %WindowsDir%\mscvb32.exe

in modo da essere eseguito tutte le volte che Windows si avvia.

Ciclo di diffusione del virus

Il worm smette di diffondersi se la data del computer e' pari o posteriore all'8 Giugno 2003

Mass mailing

Questa variante del virus non usa piu' un indirizzo fisso come mittente. Gli indirizzi dei destinatari dei messaggi inviati sono raccolti all'interno del computer.

La ricezione di un messaggio infetto da una persona non implica che il mittente sia stato infettato dal worm.

Un utente il cui indirizzo sia stato usato dal worm puo' ricevere messaggi di errori dovuti all'invio di mail ad indirizzi non piu' esistenti o disabilitati. Questi messaggi non causano nessun problema e possono essere ignorati.

I soggetti dei messaggi sono scelti fra:

Re: Screensaver
Re: Movie
Re: Submited (004756-3463)
Re: 45443-343556
Re: Approved
Approved
Re: Your application
Re: Application

Il nome dell'allegato e' scelto dalla lista:

screensaver.scr
movie.pif
submited.pif
45443.pif
documents.pif
approved.pif
application.pif
document.pif

il testo del messaggio e' sempre uguale ed e':

Please see the attached file.

Il worm raccoglie gli indirizzi di posta elettronica dai file con le seguenti estensioni:

'.wab'
'.dbx'
'.htm'
'.html'
'.eml'
'.txt'

Propagazione attraverso la rete locale

Il worm cerca di infettare tutti i computer della rete locale con delle condivisioni accessibili. Per propagarsi cerca di copiarsi all'interno delle seguenti cartelle:

Windows\All Users\Start Menu\Programs\Startup\

Documents and Settings\All Users\Start Menu\Programs\Startup

Backdoor

Il worm cerca anche di scaricare dei file da vari URL i cui indirizzi sono presenti all'interno del worm stesso. Questi indirizzi sembrano inattivi

Rilevazione

F-Secure Anti-Virus rileva Sobig.E con le impronte rilasciate il 1 Giugno 2003:

[FSAV_Database_Version]

Version=2003-06-01_01

F-Secure Corporation