Sobig

SOBIG, gusano de alta propagación masiva vía correo y redes, satura servidores.

W32/Sobig@mm, W32/Bigboss@mm

Sobig es un gusano no destructivo reportado el 10 de Enero del 2003 de alta propagación masiva vía mensajes de correo, con diversos Asuntos y archivos anexados que se difunde rápidamente en Redes compartidas, incluso en aquellas aquellas conectadas en forma remota.

El gusano es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP incluyendo los servidores NT/2000/XP.

Está desarrollado en MS Visual C++, con una extensión de 64 KB y comprimido con el utilitario tElock, escrito por el hacker ruso conocido como tHE EGOiSTE, cuyo portal fue clausurado, sin embargo es posible descargar ese compresor de diversos sitios web "Underground".

Posee su propio SMTP (Simple Mail Transfer Protocol) con una única dirección de Remitente y se envía a todos los buzones contenidos en el cTmail, que es el sistema servicio de envío de correo basado en la web, o los que son capturados en archivos del sistema infectado, con las siguientes extensiones:

.WAB
.DBX
.HTM
.HTML
.EML
.TXT

Asuntos, uno de los siguientes:

Re: Movies
Re: Sample
Re: Document
Re: Here is that sample

Anexados, uno de los siguientes:

Movie_0074.mpeg.pif
Document003.pif
Untitled1.pif
Sample.pif

Contenido: "Attached file"

Al ejecutar el archivo anexado, el gusano se auto-copia al directorio %Windir% con los siguientes nombres:

WINMGM32.EXE
SNTMLS.DAT
DWN.DAT

Para ejecutarse la próxima vez que se inicie el sistema el gusano genera la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows MGM" = %Windir%\winmgm32.exe

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP y C:\Winnt en Windows NT\2000.

El archivo Winmgm32.exe creará un mutex de nombre Worm.X. Un mutex es un programa objeto usado para permitir el acceso a un recurso compartido, mas no en forma simultánea.

Antes del envío masivo de mensajes, el gusano enviará uno a un beeper de la mensajería instantánea ICQ e intentará descargar el contenido de este URL:

http://www.geocities.com/reteras/reteral.txt (el cual ya ha sido deshabilitado).

Para propagarse en redes compartidas el gusano se auto-copia a las siguientes carpetas en los equipos remotos:

\%Windir%\All Users\Start Menu\Programs\Startup

\Documents and Settings\All Users\Start Menu\Programs\Startup

Sus payloads son los siguientes:

Se propaga masivamente en mensajes de correo.
Captura direcciones de correo basadas en la web y de archivos de varias extensiones.
Se propaga en redes compartidas, incluso las conectadas remotamente.
Satura servidores de Correo y de archivos (File Servers) en Redes LAN.

PER ANTIVIRUS® versiones 7.8 y 7.9 con registro de virus al 10 de Enero del 2003 detectan y eliminan eficientemente este gusano.