Форум Рідного Міста

Інформація про хробака Sobig.F

Agent86 - 17-9-2003 у 05:26

Опублiковано 20 серпня 2003 року

Деякі подробиці про вірус Sobig.F. На думку фахівців - це найбільша епідемія поштового хробака за останні півтора року.

Вірус Sobig.F поширюється по електронній пошті і не використовує уразливості в браузері або поштовій програмі для автоматичного запуску вкладеного в повідомлення файлу. Вкладений файл із кодом вірусу може мати одне з наступних імен: movie0045.pif, wicked_scr.scr, application.pif, document_9446.pif, details.pif, your_details.pif, thank_you.pif, document_all.pif, your_document.pif

Розмір запакованого файлу вірусу - близько 70 Кб, розпакованого - близько 100 Кб. Число тем повідомлення також обмежено: Re: That movie, Re: Wicked screensaver, Re: Your application, Re: Approved, Re: Re: My details, Re: Details, Your details, Thank you!, Re: Thank you!

У тілі листа присутній рядок "See the attached file for details" або "Please see the attached file for details." У випадку, якщо користувач запустить вкладений файл, вірус копіює себе в каталог Windows під ім'ям winppr32.exe і реєструє цей файл у системному реєстрі, забезпечуючи запуск шкідливого коду після перезавантаження системи. В усіх папках на локальних дисках хробак шукає файли з розширеннями *.TXT, *.EML, *.HTML, *.HTM, *.DBX, *.WAB, *.MHT, *.HLP. У цих файлах здійснюється пошук адрес електронної пошти.

Після цього хробак Sobig.F, за допомогою вбудованого smtp-сервера, розсилає повідомлення по виявлених адресах. Поле відправника повідомлення підробляється - у нього може бути підставлений один з виявлених електронних адрес, або адреса "admin@internet.com". Крім того, вірус створює файл winstt32.dat у системній папці Windows, у який містяться усі виявлені адреси електронної пошти. Крім "роботи" на локальних дисках, вірус сканує всі доступні папки в локальній мережі і копіює в них себе з випадковим ім'ям і розширенням .EXE.

Деструктивних функцій у хробака немає, але він посилає UDP-пакети на визначені IP-адреси на порт 8998 і чекає команд із мережі. По отриманому в такий спосіб посиланню, хробак може скачати файл і запустити його на виконання. Таким чином, теоретично можлива установка і запуск нової версії вірусу або установка троянської програми. У вірусі запрограмовано припинення роботи після 10 вересня 2003 року.

Перша версія вірусу Sobig була виявлена 9 січня 2003 року. Незважаючи на те, що код вірусу практично не мінявся, поява кожної нової версії викликало досить велике число заражень. У версії хробака Sobig.D, що з'явилася у червні, також було передбачене припинення роботи у визначений день. Вірус Sobig.C відрізнявся від інших модифікацій тим, що заражені файли поширювалися з адресою Білла Гейтса (bill@microsoft.com) у полі відправника. Вірус Sobig.E розсилав заражений файл у ZIP-архіві.


джерело : www.compulenta.ru