W32.Sobig-C.worm, er en typisk massemailer, som efter afvikling på et
Microsoft Windows system, vil sende sig selv videre til e-mail adresser,
som den høster på den inficerede maskine. Ormen er i familie med de 2
øvrige varianter af Sobig (hvor Sobig-B måske var bedre kendt som
W32.Palyh.worm). Koden er skrevet i Microsoft Visual C++ og pakket med en
modificeret udgave af UPX (Ultimate Packer for eXecutables). Den fylder
59,211 bytes og anvender en svag algoritme til at beskytte de strenge i
koden, som styrer mailingprocessen. Det sker for at besværliggøre
heuristic detektion i antivirus software.
W32.Sobig-C.worm indeholder en opdateringsfunktion, som forsøger at hente
supplerende komponenter fra en hjemmeside hostet hos geocities.com. Denne
funktion gør ormen i stand til at ændre størrelse, funktionalitet og
payloads.
Ormen har (ligesom forgængeren Palyh) indbygget en deaktiveringsdato.
Denne funktion dræber W32.Sobig-C.worm efter d. 7. Juni 2003. Den vil
efter denne dato ikke være i stand til at sprede sig.
Den ankommer via e-mail med en vedhæftet .scr, eller pif fil afsendt fra
"bill@microsoft.com" (der er naturligvis tale om en "spoofet" e-mail
adresse, som indsættes af ormen). Microsoft udsender ikke e-mails med
vedhæftede filer. Den er derfor let at genkende og bør filtreres på
gatewayen.
Også kendt som:
W32/Sobig.dam, W32.Sobig.C@mm, W32/Sobig.c@MM
Hvad gør den?
Hvis den vedhæftede fil åbnes, vil ormen starte sin spredning ved at sende
en kopi af sig selv videre til e-mail adresser som forefindes på det
inficerede system. W32.Sobig-C.worm finder e-mail adresser ved at
gennemsøge følgende filtyper: .wab .dbx, .htm, .html, .eml og .txt. Den
spreder sig endvidere via delte netværksressourcer, hvor den kopier sig
til startmappen på et tilgængeligt system: Windows\All Users\Start
Menu\Programs\StartUp\ og Documents and Settings\All Users\Start
Menu\Programs\Startup\. På den måde smittes andre maskiner i et delt
netværk når systemet genstartes.
Ormen dropper 3 kopier af sig selv til windows mappen:
mscvb32.exe (som er en kopi af ormen), msddr.dll og msddr.dat
(konfigurationsfil).
Den modificerer samtidig registreringsdatabasen for at sikre at ormen
aktiveres ved genstart af systemet. Det sker via følgende runas værdier:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"System
MScvb"=%WinDir%\mscvb32.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"System
MScvb" = %WinDir%\mscvb32.exe
Værdien "%windir%" repræsenterer stien til windows mappen, f.eks.
c:\winnt\ eller c:\windows.
Ormen ankommer via e-mail med et varieret indhold:
Emne:
Re: Movie, Re: 45443-343556, Re: Submited (004756-3463), Re: Approved,
Approved, Re: Your application, eller Re: Application.
Indhold:
Please see the attached file.
Vedhæftet:
screensaver.scr, movie.pif, 45443.pif, documents.pif, approved.pif,
application.pif, submited.pif eller document.pif.
|