Navn: W32.Sobig-F.worm
Alias: W32/Sobig.F@mm, Win32.HLLM.Reteras
Dato: 19. August 2003
Oprindelse: ca. 70 kb
Størrelse: 10,240 bytes
Risiko: HØJ
W32.Sobig-F.worm er en ny variant i Sobig familien. Ormen spreder sig i
Danmark
med hidtil uset hastighed.
Ormen er skrevet i Visual C++ og pakket med TELock. Koden har en størrelse
på ca.
72.100 bytes, men kan variere. Den vil ca. ligge omkring 70 kb. Ormen er
pakket
med TELock, at besværliggøre analyse af koden samt undgå detektion af
antivirus
software.
W32.Sobig-F.worm, er en typisk massemailer der ankommer via e-mail, som en
vedhæftet
pif-fil med et varieret indhold. Indholdet kan være en eller flere
kombinationer
af følgende indhold:
Til: [Her indsættes en tilfældig adresse som høstes fra det inficerede
system]
Fra: [Her indsættes en tilfældig adresse som høstes fra det inficerede
system]
Emne (en af følgende):
Re: Approved
Re: Your application
Re: Wicked screensaver
Re: That movie
Re: Details
Re: Re: My details
Indhold (en af følgende sætninger):
See the attached file for details
Please see the attached file for details.
Vedhæftet:
application.pif
wicked_scr.scr
movie0045.pif
thank_you.pif
your_details.pif
details.pif
document_all.pif
document_9446.pif
your_document.pif
Hvis den vedhæftede pif-fil åbnes vil ormen droppe en kopi af sig selv til
windows mappen
under navnet winppr32.exe. W32.Sobig-F.worm vil modificere
registreringsdatabasen
med det formål, at ormen reaktiveres ved genstart af systemet.
Det sker via følgende værdier:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"TrayX"
= %windows mappen%\winppr32.exe /sinc
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"TrayX"
= %windows mappen%\winppr32.exe /sinc
Ormen vil gennemsøge det lokale system for e-mail adresser, som den vil
anvende til at sende
en kopi af sig selv til. Bemærk, at W32.Sobig-F.worm spoofer til og fra
e-mail adresser
med høstede adresser fra den inficerede maskine. Det kan derfor ofte
forekomme, at
e-mailen ser ud til at komme fra en person som du kender og har tillid til.
W32.Sobig-F.worm indeholder en funktion, som via TCP 123 kontakter NTP
(Network Time Protocol)
servere. Det sker for at synkronisere tiden på den lokale inficerede
maskine.
Endeligt er W32.Sobig-F.worm i stand til at sprede sig via network shares og
kan dermed ofte
sprede sig ukontrolleret i et internt netværk.
W32.Sobig-F.worm indeholder en bagdør som kan give ondsindede brugere
uhindret adgang til et
inficeret system.
Denne analyse kan findes online på adressen:
http://www.krusesecurity.dk/advisories/sobig-f.txt
Med venlig hilsen / Kind regards
Peter Kruse
Kruse Security & Virusresearch
www.krusesecurity.dk
73 fra OZ5VIB Børge
http://borgeh.subnet.dk/ min hjemmeside.
Jeg er medlem af.
http://www.edr.dk EDR
http://www.qsl.net/oz9reg/ Repeaterforeningen Yding Skovhøj