Sobig: Udeřil další virový červ, navíc s sebou přináší trojského koně

aktualizováno 
Měsíc leden teprve dnes vstoupil do své druhé poloviny a už tu máme v pořadí druhý, velmi nebezpečný vir, označený jako Sobig. Ten se dokáže šířit mezi počítači velkou rychlostí. Pro infikaci dalších PC využívá i lokální firemní sítě.

Druhý letošní počítačový vir na sebe nenechal dlouho čekat. Prakticky vzápětí po útoku Lirvy se objevil další nebezpečný počítačový kód, který je označován jako Sobig. Jde opět o e-mailový červ šířící se po internetu. V lokálních počítačových sítích se dále pokouší o infikaci také pomocí sdílení složek, adresářů či souborů. Asi za jeho nejnebezpečnější akci lze považovat pokusy o stažení souborů z internetových stránek serverů - zejména trojských koní.

Sobig se od pondělního rána začal po celosvětové síti šířit závratnou rychlostí, dle prvních informací se v České republice ještě nestačil usadit. Ovšem co není dnes, může být zítra, o tomto faktu jsme se již několikrát mohli přesvědčit na vlastní kůži. Hrozba nákazy hrozí všem uživatelům operačního systému Windows, proto by si na tento zákeřný virus měli dávat pozor. Přes e-mailový program Outlook dokáže během chvíle infikovat celý počítač.

Po aktivování na pevném disku PC se začne automaticky rozesílat na všechny e-mailové adresy, které nalezne na HDD v souborech typu: .WAB .DBX .HML .HTML .EML .TXT.

Při svém šíření používá v předmětu zprávy jeden z následujících textů:
Re: Here is that sample
Re: Document
Re: Sample
Re: Movies

V příloze samotného emailu je přiložen soubor s označením:
Movie_0074.mpeg.pif
Document003.pif
Untitled1.pif
Sample.pif
 

Kapacita souboru je 64,8 kB, adresa odesílatele infikovaného e-mailu je vždy „big@boss.com“. K odesílání využívá Sobig vlastní SMTP (Simple Mail Transport Protocol) engine, který není závislý na nastavení pošty. K aktivaci viru může dojít pouze manuálním způsobem, to znamená podnětem uživatele.

Email pak vypadá takto 

Zdroj: F-Secure

Pokud se tak stane, červ se okamžitě po své aktivaci pokusí o vytvoření kopie svého těla v hlavním adresáři OS Windows pod názvem „winmgm32.exe“. V registrech pro tento soubor vytvoří klíč, kterým zabezpečí start tohoto souboru při každém naběhnutí OS.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WindowsMGM

Pak již začne s rozesíláním sama sebe na emaily nalezené v souborech, které jsme zmiňovali výše. Po dokončení této akce se červ snaží infikovat všechny dostupné sdílené pevné disky v LAN síti. Kopíruje se zejména do adresářů:

Windows\All Users\Start Menu\Programs\StartUp
Documents and Settings\All Users\Start Menu\Programs\Startup

tam vloží své tělo a při příštím spuštění jsou infikovány i tyto PC. A kolotoč infikace začne od začátku.

Posledním úkolem, který má Sobig naprogramován ve své rutině, je snaha o spojení s web serverem Geocites.com. Z tohoto serveru se pokouší stáhnout a následně aktivovat trojského koně Win32/Zasil. Po jeho delší činnosti vznikne v hlavním adresáři OS Windows další soubor, označený jako „dwn.dat“.

V současné době většina antivirových programů s nejnovější virovou databází dokáže tohoto červa odhalit a zničit. Pro ty, kterým se již podařilo červa v operačním systému aktivovat, přikládáme fixační soubor k jeho odstranění.

Antivirus Win32/Sobig: Fix Sobig (16 KB) 

Autor:
 

Nejčtenější

Sexuálně nejvýkonnější vyzvědače přebrali československé rozvědce Sověti

Býval agent československé rozvědky v USA Karel Köcher

Československým komunistickým rozvědčíkům se ve špionáži proti Spojeným státům dlouho nedařilo. Nakonec ale zaznamenali...

Našel na půdě 35 let starý Apple II, zapnul ho a dohrál uloženou hru

Spoustu let ležel na půdě, po zapnutí funguje „jako zamlada“.

Newyorský učitel našel u rodičů na půdě starý počítač Apple II. Zkusil ho zapnout a překvapivě mohl pokračovat ve hře,...

Lokální předpověď počasí se razantně zpřesní, možná pomáhá i váš telefon

GRAF

Nejpřesnější lokální předpovědi počasí dnes nabízejí aplikace v našich telefonech - i proto, že s nimi samy pomáhají....

V Perském zálivu spustili největší baterii světa. Virtuální a bez lithia

Sodíko-sírové bateriové systémy japonské firmy NGK. Systém, který se vejde do...

Ve Spojených arabských emirátech byla připojena do sítě největší „virtuální“ baterie světa s obřím výkonem a úctyhodnou...

Severní magnetický pól se vydal na cesty. Co když doputuje až na jih?

Posun severního magnetického pólu

Naši planetu čeká přehození magnetických pólů. Nebude to zřejmě brzy, proč k tomu ovšem vůbec dojde a co může změna...

Další z rubriky

Tipy pro Windows 10: aktivujte si bezpečné virtuální brouzdání v Edge

Tipy a triky pro Windows 10

Po spuštěním virtualizované verze browseru Edge se už nemusíte bát vstupovat na potenciálně nebezpečné stránky....

Windows umožní přímý přístup k linuxovým souborům

Nabídka linuxových distribucí pro Windows.

Windows se stále více sbližují s Linuxem. Nejnovějším počinem v této oblasti bude možnost otevírat linuxové soubory...

Software na nevratnou likvidaci dat na discích

Ilustrační foto - disk

Vybraná data, celé disky či jen jejich část umí nekompromisně odstranit digitální skartovačky. Neslouží k pouhému...

Najdete na iDNES.cz