Virus Sobig.B

Efectos:

Sobig.B produce los siguientes efectos en los odenadores afectados:

• Cada dos horas trata de conectar con dos páginas web del dominio geocities.com. Una vez conectado, descarga y ejecuta cuatro ficheros que redireccionan el navegador a una página web de contenido pornográfico.
• Envía copias de sí mismo a todas las direcciones de correo que encuentra en todos los ficheros del sistema con alguna de las siguientes extensiones: TXT, EML, HTM, HTML, DBX  o WAB.

Metodo de infección:

Sobig.B crea los siguientes ficheros en el directorio de Windows:

• MSCCN32.EXE, es una copia del gusano.
• HNKS.INI y MDBRR.INI, son dos ficheros en los que guarda una copia de las direcciones de correo electrónico que va encontrando en el sistema.

Sobig.B crea las siguientes entradas en el Registro de Windows:

• HKCU\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  System Tray = %windir%\ msccn32.exe
• HKLM\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  System Tray = %windir%\ msccn32.exe

Metodo de propagación:

Sobig.B se propaga a través del correo electrónico y a través de redes. Es importante destacar que sólo se propaga cuando la fecha del sistema marca un día anterior al 31 de mayo.

1-Propagación a través del correo electrónico:

Para propagarse, Sobig.B sigue el siguiente proceso:

• Busca direcciones de correo a todos los ficheros que encuentre con una de las siguientes extensiones:
  TXT, ficheros de texto.
  EML, mensajes de Outlook.
  HTM*, páginas web.
  DBX, mensajes de correo seguros.
  WAB, Libreta de direcciones de Windows.
• Guarda todas las direcciones que encuentra en dos ficheros que previamente ha creado en el directorio de Windows: HNKS.INI y MDBRR.INI .
• A todas estas direcciones, les envía un correo electrónico con las siguientes características:
  Remitente:
  support@microsoft.com
  Asunto: Será uno de los siguientes:

  Your details
  Approved (Ref: 38446-263)
  Your password
  Re: My details
  Screensaver
  Cool screensaver
  Re: Movie
  Re: My application
  Re: Approved (Ref: 3394-65467)
  Contenido del mensaje:
  All information is in the attached file.
  Fichero adjunto: Será uno de los siguientes:
  YOUR_DETAILS.PIF
  REF-394755.PIF
  APPROVED.PIF
  PASSWORD.PIF
  DOC_DETAILS.PIF
  SCREEN_TEMP.PIF
  SCREEN_DOC.PIF
  MOVIE28.PIF
  APPLICATION.PIF

Nota: Debido a un error en el código el gusano puede enviarse con extensión PI en lugar de PIF.

2- Propagación a través de redes.

Una vez afectado el equipo, Sobig.B comprueba si está conectado a una red. En caso de que sí lo esté, Sobig.B se copia en los siguientes directorios de equipos de esos otros ordenadores:

• \Windows\ All Users\ Start Menu\ Programs\ StartUp\
• \Documents and Settings\ All Users\ Start Menu\ Programs\ Startup\

Ambos son los directorios de inicio de Windows. Por lo tanto, cuando Sobig.B se ha copiado en esos directorios, el ordenador ejecutará el gusano en la siguiente ocasión en la que se inicie el sistema.

Otros detalles:

El fichero que provoca la infección está escrito en lenguaje de programación Visual C++.

Este fichero tiene un tamaño que oscila entre 50176 y 54272 Bytes cuando está comprimido con UPX. Una vez descomprimido, su tamaño aumenta hasta 111616 Bytes.