Druhý letošní počítačový vir na sebe nenechal dlouho čekat. Prakticky vzápětí po útoku Lirvy se objevil další nebezpečný počítačový kód, který je označován jako Sobig. Jde opět o e-mailový červ šířící se po internetu. V lokálních počítačových sítích se dále pokouší o infikaci také pomocí sdílení složek, adresářů či souborů. Asi za jeho nejnebezpečnější akci lze považovat pokusy o stažení souborů z internetových stránek serverů - zejména trojských koní.
Sobig se od pondělního rána začal po celosvětové síti šířit závratnou rychlostí, dle prvních informací se v České republice ještě nestačil usadit. Ovšem co není dnes, může být zítra, o tomto faktu jsme se již několikrát mohli přesvědčit na vlastní kůži. Hrozba nákazy hrozí všem uživatelům operačního systému Windows, proto by si na tento zákeřný virus měli dávat pozor. Přes e-mailový program Outlook dokáže během chvíle infikovat celý počítač.
Po aktivování na pevném disku PC se začne automaticky rozesílat na všechny e-mailové adresy, které nalezne na HDD v souborech typu: .WAB .DBX .HML .HTML .EML .TXT.
Při svém šíření používá v předmětu zprávy jeden z následujících textů:
Re: Here is that sample
Re: Document
Re: Sample
Re: Movies
V příloze samotného emailu je přiložen soubor s označením:
Movie_0074.mpeg.pif
Document003.pif
Untitled1.pif
Sample.pif
Kapacita souboru je 64,8 kB, adresa odesílatele infikovaného e-mailu je vždy „big@boss.com“. K odesílání využívá Sobig vlastní SMTP (Simple Mail Transport Protocol) engine, který není závislý na nastavení pošty. K aktivaci viru může dojít pouze manuálním způsobem, to znamená podnětem uživatele.
Zdroj: F-Secure
Pokud se tak stane, červ se okamžitě po své aktivaci pokusí o vytvoření kopie svého těla v hlavním adresáři OS Windows pod názvem „winmgm32.exe“. V registrech pro tento soubor vytvoří klíč, kterým zabezpečí start tohoto souboru při každém naběhnutí OS.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WindowsMGM
Pak již začne s rozesíláním sama sebe na emaily nalezené v souborech, které jsme zmiňovali výše. Po dokončení této akce se červ snaží infikovat všechny dostupné sdílené pevné disky v LAN síti. Kopíruje se zejména do adresářů:
Windows\All Users\Start Menu\Programs\StartUp
Documents and Settings\All Users\Start Menu\Programs\Startup
tam vloží své tělo a při příštím spuštění jsou infikovány i tyto PC. A kolotoč infikace začne od začátku.
Posledním úkolem, který má Sobig naprogramován ve své rutině, je snaha o spojení s web serverem Geocites.com. Z tohoto serveru se pokouší stáhnout a následně aktivovat trojského koně Win32/Zasil. Po jeho delší činnosti vznikne v hlavním adresáři OS Windows další soubor, označený jako „dwn.dat“.
V současné době většina antivirových programů s nejnovější virovou databází dokáže tohoto červa odhalit a zničit. Pro ty, kterým se již podařilo červa v operačním systému aktivovat, přikládáme fixační soubor k jeho odstranění.
Antivirus Win32/Sobig: Fix Sobig (16 KB)