Sobig.F

SOBIG.F, gusano de Correo y Redes compartidas roba información, toma el control de los sistemas, etc.

W32/Sobig.F@mm, I.worm.Sobig.F@mm

Sobig.F es un gusano reportado el 20 de Agosto del 2003 de alta propagación masiva vía mensajes de correo, con diversos Asuntos, Contenidos y archivos Anexados elegidos en forma aleatoria. Se conecta a servidores pre-determinados desde los cuales descarga un troyano/backdoor. Se difunde además en Redes con recursos compartidos, incluso en aquellas conectadas en forma remota.

El gusano es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en MS Visual C++, con una extensión de 70 KB y comprimido con los utilitarios Aspack y tElock, este último escrito por el hacker ruso tHE EGOiSTE.

Emplea aleatoriamente la técnica Email spoofing, disfrazando al Remitente en forma aleatoria de las direcciones capturadas en archivos de diversas extensiones.

El mensaje tiene las siguientes características:

Asuntos, uno de los siguientes:

Re: Thank you!
Thank you!
Re: Details
Re: Re: My details
Re: Approved
Re: Your application
Re: Wicked screensaver
Re: That movie

Contenido, uno de los siguientes:

See the attached file for details.
Please see the attached file for details.

Anexado, uno de los siguientes:

your_document.pif
document_all.pif
thank_you.pif
your_details.pif
details.pif
document_9446.pif
application.pif
wicked_scr.scr
movie0045.pif

Al ejecutar el archivo infectado, el gusano se auto-copia al directorio %Windir% como winppr32.exe y libera un archivo de texto de nombre winsst.dat en esa misma ruta.

Para ejecutarse la próxima vez que se inicie el sistema el gusano genera la siguiente llave de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"TrayX" = "%Windir%\winppr32.exe /sinc"

[HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run]
"TrayX" = "%Windir%\winppr32.exe /sinc"

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

Una vez re-iniciado el sistema, el gusano, que posee su propio SMTP (Simple Mail Transfer Protocol) se auto-envía a todos las direcciones de correo contenidos en los archivos con las siguientes extensiones:

.DBX
.HLP
.MHT
.WAB
.HTML
.HTM
.TXT
.EML

A través del puerto 123, se conecta a una lista de servidores públicos NTP (Network Time Protocol) desde los cuales puede descargar archivos hacia una computadora infectada y ejecutarlos.

La mayoría de estos archivos son empleados para robar información confidencial del sistema y para convertirlo en un servidor intermediario (Relay), para el envío de correo masivo no deseado (SPAM).

Asimismo abre los siguientes puertos UDP:

995/UDP (protocolo POP3 sobre TLS/SSL)
996/UDP (vsinet)
997/UDP (maitrd)
998/UDP (puparp)
999/UDP (Applix ac)

Y una vez conectado, el hacker puede capturar Datagramas UDP, haciendo uso de un DatagramSocket objeto, los cuales son analizados con una firma asignada y la lista maestra de servidores, que el gusano puede actualizar de acuerdo a las instrucciones remotas de su creador.

Para propagarse en redes compartidas, el gusano enumera sus recursos y se auto-copia a las siguientes carpetas en los equipos remotos:

\%Windir%\All Users\Start Menu\Programs\Startup
\Documents and Settings\All Users\Start Menu\Programs\Startup

Finalmente, el gusano desactiva su rutina de propagación el 10 de Septiembre del 2003.

Sus payloads son los siguientes:

Se propaga masivamente en mensajes de correo, haciendo uso de su propio servidor SMTP.
Se auto-envía a las direcciones que captura en archivos de ciertas extensiones.
Emplea aleatoriamente la técnica "Spoofing" para disfrazar al verdadero remitente.
Se propaga en redes compartidas, incluso las conectadas remotamente.
A través del puerto 123 se conecta a una lista de servidores públicos NTP desde donde descarga archivos que roban información confidencial del sistema.
Captura y envía Datagramas UDP al hacker creador del gusano.
Descarga un troyano/backdoor que permitiría a su autor tomar control de los sistemas en forma remota.
Se auto-destruye el 10 de Septiembre del 2003

PER ANTIVIRUS® versión 8.2 con registro de virus al 20 de Agosto del 2003 detecta y elimina eficientemente este gusano.