Virus Sobig.E

Efectos:

Sobig.E no produce ningún efecto destructivo. Se limita a propagarse por correo electrónico y por redes al mayor número posible de ordenadores.

Metodo de infección:

Sobig.E crea los siguientes ficheros en el directorio de Windows:

• WINSSK32.EXE, es una copia del gusano.
• MSRRF.DAT.

Sobig.E crea las siguientes entradas en el Registro de Windows:

• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  SSK Service = %windir%\ winssk32.exe

• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  SSK Service = %windir%\ winssk32.exe
  Al hacerlo, consigue ejecutarse cada vez que se inicia el sistema.

Metodo de propagación:

Sobig.E se propaga a través del correo electrónico y a través de redes.

1-Propagación a través del correo electrónico:

Para propagarse, Sobig.E sigue el siguiente proceso:

• Busca direcciones de correo en todos los ficheros que encuentre con una de las siguientes extensiones:
  TXT, ficheros de texto.
  EML, mensajes de Outlook.
  HTM*, páginas web.
  DBX, mensajes de correo seguros.
  WAB, Libreta de direcciones de Windows.

• A todas estas direcciones, les envía un correo electrónico empleando su propio motor SMTP. Este mensaje tiene las siguientes características:
  
  Remitente: Sobig.E falsifica esta dirección, lo que puede dar lugar a muchas confusiones. Si quiere saber más al respecto, pulse aquí.
  
  Asunto: Será uno de los siguientes:
  Re: Movie
  Re: Application
  referer.pif
  004448554.pif
  re.document.pif
  new_document.pif
  submited.pif
  Screensaver.scr
  movie.pif
  Applications.pif
  Application.pif
  Your application
  Re: Re: Document
  Re: Re: Application ref.003644
  Re: Documents
  Re: Screensaver
  Re: Submited (Ref. 003746)
  Re: Movies
  
  Contenido del mensaje:
  Please see the attached zip file for details
  
  Fichero adjunto: Será uno de los siguientes
  YOUR_DETAILS.ZIP (contiene el fichero DETAILS.PIF con el cuerpo del gusano)
  APPLICATION.ZIP (contiene el fichero APPLICATION.PIF con el cuerpo del gusano)
  DOCUMENT.ZIP  (contiene el fichero DOCUMENT.PIF con el cuerpo del gusano)
  SCREENSAVER.ZIP  (contiene el fichero SKY_WORLD.SCR con el cuerpo del gusano)
  MOVIE.ZIP (contiene el fichero MOVIE.PIF con el cuerpo del gusano)

2- Propagación a través de redes.

Sobig.E únicamente se propaga por redes si la fecha del sistema afectado es anterior del día 14 de julio.

Para hacerlo, sigue el siguiente proceso:

• Comprueba si está conectado a una red.
• En caso afirmativo, Sobig.E se copia en los siguientes directorios de equipos de esos otros ordenadores:
  \ Windows\ All Users\ Start Menu\ Programs\ StartUp\
  
  \ Documents and Settings\ All Users\ Start Menu\ Programs\ Startup\
• Ambos son los directorios de inicio de Windows. Por lo tanto, cuando Sobig.C se ha copiado en ellos, el ordenador ejecutará el gusano en la siguiente ocasión en la que se inicie el sistema.

Otros detalles:

El fichero que provoca la infección está escrito en lenguaje de programación Visual C++.

Este fichero tiene un tamaño de 86528 Bytes cuando está comprimido con Aspack y Telock.