W32/Sobig.E@mm, I.worm.Sobig.E@mm

Sobig.E es un gusano reportado el 25 de Junio del 2003 de alta propagación masiva vía mensajes de correo, con diversos Asuntos y archivos anexados. Pese a no tener efectos destructivos se difunde rápidamente en Redes con recursos compartidos, incluso en aquellas conectadas en forma remota. 

El gusano es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en MS Visual C++, con una extensión de 84.5 KB y comprimido con los utilitarios Aspack y tElock, este último escrito por el hacker ruso tHE EGOiSTE, cuyo portal ha sido clausurado, sin embargo es posible descargar ese compresor de diversos sitios web "Underground". 

Emplea aleatoriamente la técnica Email spoofing, disfrazando al Remitente como support@yahoo.com. 

El mensaje tiene las siguientes características:

Asuntos, uno de los siguientes:

• referer.pif
• 004448554.pif
• re.document.pif
• new_document.pif
• submited.pif
• Screensaver.scr
• movie.pif
• Applications.pif
• Application.pif
• Your application
• Re: Re: Document
• Re: Re: Application ref. 003644
• Re: Documents
• Re: Screensaver
• Re: Submited (Ref: 003746)
• Re: Movies
• Re: Movie
• Re: Application  

Contenido: Please see the attached file. 
Anexado, uno de los siguientes:

• Your_details.zip (contiene el archivo Details.pif)
• Application.zip (contiene el archivo Application.pif)
• Document.zip (contiene el archivo Document.pif)
• Screensaver.zip (contiene el archivo Sky.world.scr)
• Movie.zip (contiene el archivo Movie.pif)

Al ejecutar el archivo infectado, el gusano se auto-copia al directorio %Windir% como winssk32.exe y libera el archivo de configuración msrrf.dat. 

Para ejecutarse la próxima vez que se inicie el sistema el gusano genera la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run]
"SSK Service" = "%Windir%\winssk32.exe"

En Windows NT/2000/XP el gusano agrega además la siguiente llave:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SSK Service" = "%Windir%\ winssk32.exe"

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000. 

Una vez re-iniciado el sistema, el gusano, que posee su propio SMTP (Simple Mail Transfer Protocol) se auto-envía a todos las direcciones de correo contenidos en los archivos con las siguientes extensiones:

• .WAB
• .DBX
• .HTM
• .HTML
• .EML
• .TXT

También puede hacerlo desde la dirección support@yahoo.com, usando la técnica Spoofing.

Para propagarse en redes compartidas, el gusano enumera sus recursos y se auto-copia a las siguientes carpetas en los equipos remotos:

• \%Windir%\All Users\Start Menu\Programs\Startup
• \Documents and Settings\All Users\Start Menu\Programs\Startup

Finalmente el gusano intenta actualizarse a través de los puertos 995 y 999 descargando archivos de páginas web alojadas en Geocities, que ya han sido desactivadas. 

Sus payloads son los siguientes:

• Se propaga masivamente en mensajes de correo, haciendo uso de su propio servidor SMTP.
• Se auto-envía a las direcciones que captura en archivos de ciertas extensiones. 
• Emplea aleatoriamente la técnica "Spoofing" para disfrazar al verdadero remitente.
• Se propaga en redes compartidas, incluso las conectadas remotamente.
• Satura servidores de Correo y de archivos (File Servers) en Redes LAN.
• Se conecta a los puertos 995 y 999 para intentar actualizarse remotamente, descargando nuevos archivos. 
• Se auto-destruye el 14 de Julio del 2003

PER ANTIVIRUS® versión 8.1 con registro de virus al 25 de Junio del 2003 detecta y elimina eficientemente este gusano.