Descrizione Breve

La variante E del ceppo Sobig, rilevata per la prima volta il 25 giugno 2003, si propaga tramite e-mail contenenti il testo "Please see the attached zip file for details." e l'allegato "your_details.zip"

Tool per la rimozione

F-Secure ha creato un tool per la rimozione di Sobig.F. Il tool e' disponibile in:

ftp://ftp.f-secure.com/anti-virus/tools/f-sobig.zip

Istruzioni per la rimozione:

ftp://ftp.f-secure.com/anti-virus/tools/f-sobig.txt

Descrizione Dettagliata

Il worm e' contenuto in un file di formato PE lungo 86528 byte e compresso tramite Aspack e TELock. Le dimensioni del worm, una volta scompattato, sono di oltre 130 kilobytes. La maggior parte delle stringhe di testo nel codice del worm sono crittografate con un complesso algoritmo.

Installazione nel sistema

Quando si esegue l'allegato infetto, il worm si installa nel sistema. Copia il proprio file con il nome WINSSK32.EXE nella cartella di Windows e crea le seguenti chiavi di avvio nel Registro di Sistema:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SSK Service" = "%windir%\winssk32.exe

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"SSK Service" = "%windir%\winssk32.exe

dove %windir% rappresenta la directory di Windows. Questo garantisce l'esecuzione del worm ad ogni sessione di Windows. Inoltre il worm crea il file MSRRF.DAT nella cartella di Windows.

Diffusione tramite e-mail

Il worm si diffonde tramite e-mail. Il messaggio infetto viene creato dal worm con soggetti differenti e casuali, un testo sempre uguale e nomi di file diversi come allegati. Il file del worm è contenuto all'interno di un archivio ZIP allegato al messaggio.

Tipicamente, i messaggi avranno le seguenti caratteristiche:

Soggetto:
Re: Application o
Re: Movie Testo: Please see the attached zip file for details. Allegato: your_details.zip

L'allegato contiene il file del worm con il nome DETAILS.PIF.

Per ottenere gli indirizzi di posta elettronica a cui inviare la mail infetta, il worm effettua una ricerca nei file con le seguenti estensioni:

.WAB
.DBX
.HTM
.HTML
.EML
.TXT

Il worm falsifica l'indirizzo del mittente nel campo "From:". Puo' essere 'support@yahoo.com' oppure un qualunque altro indirizzo che il worm rilevi su un sistema infetto.

Sobig.E ha il proprio motore SMTP e contiene un lista di server di posta che utilizza per diffondersi.

Diffusione nella rete locale

Il worm enumera le risorse di rete e cerca di localizzare le cartelle di avvio sui computer remoti:

\Windows\All Users\Start Menu\Programs\StartUp\
\Documents and Settings\All Users\Start Menu\Programs\Startup\

Se Sobig trova una di queste cartelle, vi copia il proprio file. Il computer remoto viene infettato al successivo riavvio.

Routine di disattivazione

Sobig.E ha un ciclo di vita limitato, come le varianti precedenti. La sua diffusione si arresta il 14 Luglio 2003.

Rilevazione

F-Secure Anti-Virus rileva Sobig.E con le impronte rilasciate il 25 Giugno 2003:

[FSAV_Database_Version]

Version=2003-06-25_04

F-Secure Corporation