Worm.W32/Sobig.F@MM
Alias:
W32/Sobig.f@MM (McAfee), W32.Sobig.F@mm (Symantec), W32/Sobig.F
(Panda Software), W32/Sobig-F (Sophos), WORM_SOBIG.F (Trend Micro),
Win32/Sobig.F (Enciclopedia Virus (Ontinent)), Win32.Sobig.F
(Computer Associates), W32/Sobig.F@mm (Norman), W32/Sobig.F@MM
(Hacksoft), I-Worm.Sobig.f (Kaspersky (viruslist.com)),
Win32.Sobig.F@mm (Bit Defender), W32/Sobig.F@mm (PerAntivirus)
Descripción:
Se trata de un gusano que se propaga tanto por correo electrónico
como por carpetas compartidas en red. El e-mail en que puede llegar
está en inglés y tiene asuntos variables. Además, también
escucha en los puertos (udp) 995 a 999, lo que le concede
capacidades adicionales de virus de puerta trasera.
Detalles:
El gusano tiene las siguientes características:
- Se propaga por correo electrónico,
enviando los mensajes con su propio motor SMTP
- Se propaga también por recursos
compartidos en redes de Microsoft.
- Abre los puertos (udp) 995 a 999, ambos
inclusive, y permanece a la espera de recibir órdenes, actuando
así como un troyano.
- Ejecuta un bucle cada hora, mediante el
cual se conecta a una serie de direcciones web con el fin de
realizar actualizaciones de sí mismo.
Nota: El gusano lleva datos basura al final de
su fichero, por lo que no es posible decir exactamente cuál es
tamaño en bytes (puede variar entre los 70 y 74 kilo bytes).
Instalación
El gusano se copia a sí mismo como
C:\WINNT\WINPPR32.EXE
También deja un fichero de configuración en
%Windir% :
C:\WINNT\WINSTT32.DAT
También añade las siguientes claves del
registro para ejecutarse cada vez que se arranca el sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"TrayX" = C:\WINNT\WINPPR32.EXE /sinc
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"TrayX" = C:\WINNT\WINPPR32.EXE /sinc
Propagación
mediante correo electrónico
El gusano se envía por correo a todas las
direcciones que encuentra en la máquina ya infectada (en concreto,
en archivos del tipo HTM, .HTML, .TXT, .EML, .DBX, .HLP, .MHT y
.WAB). Usa su propio motor SMTP y los mensajes tienen las siguientes
características:
- Posibles asuntos
- Re: Thank you!
- Re: Details
- Re: Re: My
details
- Re: Approved
- Re: Your
application
- Re: Wicked
screensaver
- Re: That movie
- Posibles adjuntos
- your_document.pif
- document_all.pif
- thank_you.pif
- your_details.pif
- details.pif
- document_9446.pif
- application.pif
- wicked_scr.scr
- movie0045.pif
- Cuerpos del mensaje
posibles
- See the
attached file for details
- Please see the
attached file for details
El origen del correo se sustituye por una dirección
extraída de la máquina víctima. Por lo tanto, el remitente del
correo no es probablemente el usario que realmente está infectado y
que lo envió.
Propagación
mediante unidades de red compartidas
Sobig.F crea un bucle que ejecuta cada 30
minutos, y que trata de conectarse a unidades de red compartidas,
con el fin de realizar en las mismas una copia del gusano.
Contacto
con servidores NTP remotos
El gusano contiene una lista de direcciones IP
de servidores NTP remotos (NTP=Network Time Protocol, utilizado para
saber cuál es la hora y fecha). A estos servidores les envía
paquetes NTP (puerto destino 123).
Solución:
Herramientas
de desinfección
Los principales fabricantes antivirus ofrecen
gratuitamente herramientas que eliminan el virus Sobig.F. Aquí
damos enlaces a algunas de estas herramientas:
Eliminación
con el antivirus
La mejor manera de eliminar este virus es
diponer de un programa antivirus. Antes de comenzar con la
desinfección es muy recomendable que desconecte el cable de acceso
a la red de su PC.
Primero fuerce al programa antivirus a
relaizar un escaneo completo de su ordenador. A continuación, después
del escaneo, y con el fin de restaurar la configuración original de
su registro, borre las entradas:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
TrayX = %windir%\winppr32.exe /sinc
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
TrayX = %windir%\winppr32.exe /sinc
A continuación reinicie el ordenador.
Más información acerca de este virus en:
Fuente: red.es |
