Sobig.C

SOBIG.C, gusano supuestamente enviado por Bill Gates infecta vía correo y redes con recursos compartidos.

W32/Sobig.C@mm, I.worm.Sobig.C@mm

Sobig.C es un gusano reportado el 1o de Junio del 2003 de alta propagación masiva vía mensajes de correo, con diversos Asuntos y archivos anexados. Simula ser remitido por bill@microsoft.com y se difunde rápidamente en Redes con recursos compartidos, incluso en aquellas conectadas en forma remota.

La verdadera dirección del supuesto remitente es: BillGates@chairman.microsoft.com

El gusano es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en MS Visual C++, con una extensión de 59 KB y comprimido con el utilitario tElock, escrito por el hacker ruso conocido como tHE EGOiSTE, cuyo portal fue clausurado, sin embargo es posible descargar ese compresor de diversos sitios web "Underground".

Emplea la técnica Email spoofing, disfrazando las verdaderas direcciones de los Remitentes y el mensaje tiene las siguientes características:

Asuntos, uno de los siguientes:

Re: Movie
Re: Submited (004756-3463)
Re: 45443-343556
Re: Approved
Approved
Re: Your application
Re: Application

Contenido: Please see the attached file.
Anexado, uno de los siguientes:

screensaver.scr
movie.pif
submited.pif
45443.pif
documents.pif
approved.pif
application.pif
document.pif

Al ejecutar el archivo infectado, el gusano se auto-copia al directorio %Windir% como mscvb32.exe y libera los archivos:

msddr.dll
msddr.dat

Para ejecutarse la próxima vez que se inicie el sistema el gusano genera la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"System MScvb" = "%Windir%\mscvb32.exe"

En Windows NT/2000/XP el gusano agrega además la siguiente llave:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"System MScvb" = "%Windir%\mscvb32.exe"

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

Una vez re-iniciado el sistema, el gusano, que posee su propio SMTP (Simple Mail Transfer Protocol) se auto-envía a todos los buzones contenidos en el cTmail, el sistema de envío de correo basado en la web, o los que son capturados en archivos del sistema infectado, con las siguientes extensiones:

.WAB
.DBX
.HTM
.HTML
.EML
.TXT

Para propagarse en redes compartidas, el gusano enumera sus recursos y se auto-copia a las siguientes carpetas en los equipos remotos:

\%Windir%\All Users\Start Menu\Programs\Startup
\Documents and Settings\All Users\Start Menu\Programs\Startup

Finalmente el gusano intenta descargar algunos archivos de dos páginas web alojadas en Geocities, que ya han sido desactivadas.

Sus payloads son los siguientes:

Se propaga masivamente en mensajes de correo, haciendo uso de su propio servidor SMTP.
Simula ser enviado por bill@microsoft.com
Captura direcciones de correo basadas en la web y de archivos de varias extensiones.
Se propaga en redes compartidas, incluso las conectadas remotamente.
Satura servidores de Correo y de archivos (File Servers) en Redes LAN.
Intenta descargar archivos de páginas web en Geocities, que ya han sido desactivadas.
Se auto-destruye el 8 de Junio del 2003

PER ANTIVIRUS® versión 8.1 con registro de virus al 1o de Junio del 2003 detecta y elimina eficientemente este gusano.