Agent86 - 17-9-2003 у 05:26
Опублiковано 20 серпня 2003 року
Деякі подробиці про вірус Sobig.F. На думку фахівців - це найбільша епідемія
поштового хробака за останні півтора року.
Вірус Sobig.F поширюється по електронній пошті і не використовує уразливості в
браузері або поштовій програмі для автоматичного запуску вкладеного в
повідомлення файлу. Вкладений файл із кодом вірусу може мати одне з наступних
імен: movie0045.pif, wicked_scr.scr, application.pif, document_9446.pif, details.pif, your_details.pif, thank_you.pif, document_all.pif,
your_document.pif
Розмір запакованого файлу вірусу - близько 70 Кб, розпакованого - близько 100 Кб.
Число тем повідомлення також обмежено: Re: That movie, Re: Wicked screensaver, Re: Your application, Re: Approved,
Re: Re: My details, Re: Details, Your details, Thank you!, Re: Thank you!
У тілі листа присутній рядок "See the attached file for details" або "Please see the attached file for
details." У випадку, якщо користувач запустить вкладений файл, вірус копіює себе в
каталог Windows під ім'ям winppr32.exe і реєструє цей файл у системному реєстрі,
забезпечуючи запуск шкідливого коду після перезавантаження системи. В усіх
папках на локальних дисках хробак шукає файли з розширеннями *.TXT, *.EML, *.HTML, *.HTM, *.DBX,
*.WAB, *.MHT, *.HLP. У цих файлах здійснюється пошук адрес електронної пошти.
Після цього хробак Sobig.F, за допомогою вбудованого smtp-сервера, розсилає
повідомлення по виявлених адресах. Поле відправника повідомлення підробляється -
у нього може бути підставлений один з виявлених електронних адрес, або адреса
"admin@internet.com". Крім того, вірус створює файл winstt32.dat у системній папці Windows, у
який містяться усі виявлені адреси електронної пошти. Крім "роботи" на
локальних дисках, вірус сканує всі доступні папки в локальній мережі і копіює в
них себе з випадковим ім'ям і розширенням .EXE.
Деструктивних функцій у хробака немає, але він посилає UDP-пакети на визначені
IP-адреси на порт 8998 і чекає команд із мережі. По отриманому в такий спосіб
посиланню, хробак може скачати файл і запустити його на виконання. Таким чином,
теоретично можлива установка і запуск нової версії вірусу або установка
троянської програми. У вірусі запрограмовано припинення роботи після 10 вересня
2003 року.
Перша версія вірусу Sobig була виявлена 9 січня 2003 року. Незважаючи на те, що код
вірусу практично не мінявся, поява кожної нової версії викликало досить велике
число заражень. У версії хробака Sobig.D, що з'явилася у червні, також було
передбачене припинення роботи у визначений день. Вірус Sobig.C відрізнявся від інших
модифікацій тим, що заражені файли поширювалися з адресою Білла Гейтса
(bill@microsoft.com) у полі відправника. Вірус Sobig.E розсилав заражений файл у ZIP-архіві.
джерело : www.compulenta.ru