Descrizione Breve

Una nuova variante di Sobig, conosciuta come Sobig.F, e' stata rilevata il 19 agosto 2003 e si sta diffondendo.

Sobig invia una grande quantita' di email. Il mittente di queste mail e' fasullo e non indica l'utente infetto.

L'eseguibile ha una dimensione attorno ai 70 KB ed e' compressa con TELock. Il worm possiede un proprio engine SMTP ed e' in grado di effettuare query ai servizi DNS e NTP.

Sobig.F cerca di scaricare file da siti predefiniti in determinate condizioni. Il particolare questa funzione e' attivata quando la data, ricevuta da un server NTP, e' Venerdi' o Domenica e l'ora compresa fra 19:00 e 22:00 UTC. Il worm verifica questa condizione una volta all'ora.

Se le condizioni sono verificate Sobig.F cerca di scaricare un file da una lista di 20 host master. Il file scaricato verra' poi eseguito.

La lista dei server NTP utilizzata e' la seguente:

200.68.60.246
62.119.40.98
150.254.183.15
132.181.12.13
193.79.237.14
131.188.3.222
131.188.3.220
193.5.216.14
193.67.79.202
133.100.11.8
193.204.114.232
138.96.64.10
chronos.cru.fr
212.242.86.186
128.233.3.101
142.3.100.2
200.19.119.69
137.92.140.80
129.132.2.21

Per maggiori informazioni consultare:
http://www.f-secure.com/news/items/news_2003082200.shtml

Tool per la rimozione

F-Secure ha creato un tool per la rimozione di Sobig.F. Il tool e' disponibile in:

ftp://ftp.f-secure.com/anti-virus/tools/f-sobig.zip

Istruzioni per la rimozione:

ftp://ftp.f-secure.com/anti-virus/tools/f-sobig.txt

Routine di disattivazione

l worm smettera' di diffondersi il 10 settembre 2003. Da questa data in poi, il worm si fermera' immediatamente dopo l'esecuzione

Infezione del Sistema

Sobig.F si installa nel percorso:

%windir%\winppr32.exe

e aggiunge le seguenti chiavi nel registro di Windows:

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TrayX" = %windir%\winppr32.exe /sinc

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TrayX" = %windir%\winppr32.exe /sinc

in modo da avviarsi assieme al sistema operativo.

Propagazione e-mail

Il worm arriva solitamente in messaggi di posta con le seguenti caratteristiche:

From:

Indirizzo ricavato dal sistema infetto, ma non quello del mittente reale

To:

Indirizzo ricavato dal sistema infetto

Il soggetto e' preso da questa lista:

Re: Details
Re: Re: My details
Re: Approved
Re: Your application
Re: Wicked screensaver
Re: That movie

Messaggio: uno fra i seguenti

See the attached file for details
Please see the attached file for details.

Allegato: Puo' essere uno tra i seguenti

your_document.pif
document_all.pif
thank_you.pif
your_details.pif
details.pif
document_9446.pif
application.pif
wicked_scr.scr
movie0045.pif

In alcuni casi l'allegato non e' presente.

Inoltre l'header del messaggio contiene la stringa: "X-MailScanner: Found to be clean". Non esiste prodotto antivirus che utilizzi questo header.

Storia di Sobig

La seguente tabelle mostra tutte le versioni di Sobig con le dati di "scadenza" e della prima rilevazione. Il campo "Detection" indica la data in cui F-Secure ha reso disponibili le impronte per rilevare il virus.

Variant Found Expires Detection
_____________________________________________________________
Sobig.A January 9th NO 2003-01-09_04
Sobig.B May 18th May 31st 2003-05-19_03
Sobig.C May 31st June 8th 2003-06-01_01
Sobig.D June 18th July 2nd 2003-06-18_03
Sobig.E June 25th July 14th 2003-06-26_02
Sobig.F August 19th September 10th 2003-08-19_02
_____________________________________________________________

Rilevazione

F-Secure Anti-Virus rileva Sobig.F con gli aggiornamenti pubblicati oggi, 19 agosto 2003:

[FSAV_Database_Version]

Version=2003-08-19_02

F-Secure Corporation