publicidadpublicidad publicidad
 

> Home > Antivirus > Enciclopedia de virus > Virus Sobig.F

Virus Sobig.F

La Peligrosidad varía según el Daño y la Propagación

Peligrosidad Peligrosidad baja Propagación Propagación baja Daño Daño alto
 
 
Descripción Detalles Solución Estadísticas

Efectos:

Sobig.F realiza las siguientes acciones:

  • Envía paquetes UDP al puerto 8998 de direcciones IP determinadas.
  • Abre los puertos 995 a 999, ambos inclusive, y permanece a la espera de recibir órdenes, al modo de un troyano de tipo backdoor.
  • Ejecuta un bucle cada 10 segundos, mediante el cual se envía por correo electrónico a una serie de direcciones que recopila en el ordenador afectado.
  • Ejecuta un bucle cada 30 minutos, mediante el cual trata de realizar copias suyas en unidades de red compartidas a las que consiga acceso.
  • Ejecuta un bucle cada hora, mediante el cual se conecta a una serie de direcciones web con el fin de realizar actualizaciones de sí mismo.

Metodo de infección:

Sobig.F crea los siguientes ficheros:

  • WINPPR32.EXE, en el directorio de Windows. Es una copia del gusano.
  • WINSTT32.DAT, en el directorio de Windows. Es usado para guardar un registro de las direcciones de correo encontradas por el gusano.
  • WINSTF32.DLL. Se crea durante el proceso de propagación a unidades compartidas.

Sobig.F crea las siguientes entradas en el Registro de Windows:

  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
    TrayX = %windir \ winppr32.exe /sinc
  • HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
    TrayX =  %windir \ winppr32.exe  /sinc
    De esta forma, consigue ejecutarse cada vez que se inicia Windows.

Sobig.F realiza el siguiente proceso:

  • Cada vez que se ejecuta el gusano o al realizar un bucle que se ejecuta cada hora, Sobig.F se conecta con determinados servidores NTP (Network Time Protocol) a través del puerto UDP 123. Si quiere consultar la lista de servidores NTP, pulse aquí.
  • Dichos servidores NTP devuelven un valor en formato de tiempo universal (UTC). Si dicho valor es igual o superior a las 19:00 horas del día 22 de agosto de 2003, el gusano realizará la descarga de un fichero.
  • Para ello, envía un paquete UDP al puerto 8998 de un ordenador remoto, identificado mediante su dirección IP. Sobig.F contiene dentro de su código una lista encriptada de 20 direcciones IP, pertenecientes a equipos situados en EE.UU., Canadá y Corea del Sur. Pulse aquí para consultar el listado de direcciones IP.
  • Sobig.F espera que dicho ordenador le responda con la dirección de una página web, de la que el gusano descargará el troyano tipo backdoor que posteriormente instalará.

Metodo de propagación:

Sobig.F se propaga a través del correo electrónico y de unidades de red compartidas. Cuando la fecha del sistema sea 10 de septiembre de 2003 o posterior, el gusano deja de propagarse.

1.- Propagación a través del correo electrónico.

Sobig.F se propaga en un mensaje escrito en inglés de características variables. Para ello, realiza el siguiente proceso:

  • Busca direcciones de correo en todos los ficheros que encuentre con una de las siguientes extensiones:

    - TXT, ficheros de texto.
    - EML, mensajes de Outlook.
    - Extensiones que comiencen por HTM,     páginas web.
    - DBX, mensajes de correo seguros.
    - WAB, Libreta de direcciones de Windows.
    - MHT, Multipart HTML. Es un formato que permite guardar páginas Web en un único fichero.
    - HLP, ficheros de ayuda de Windows.
  • Crea un bucle cada 10 segundos, para mandar sucesivamente un mensaje de correo electrónico a cada una de las direcciones que ha encontrado. Para ello, Sobig.F emplea su propio motor SMTP. Este mensaje tiene las siguientes características:

    Remitente:
    Sobig.F busca dentro del ordenador una dirección válida de correo electrónico; en caso de encontrarla, la inserta en el campo Remitente. Esto puede dar lugar a confusiones. Si quiere saber más al respecto, pulse aquí
    Si el gusano no encontrase ninguna dirección válida, utilizará la siguiente:     admin@internet.com.    

     Asunto:
    Puede ser uno de los siguientes:
    Re: Thank you
    Thank you!
    Your details
    Re: Details
    Re: Re: My details
    Re: Approved
    Re: Your application
    Re: Wicked screensaver
    Re: That movie

    Contenido:
    Puede ser uno de los siguientes:
    See the attached file for details
    Please see the attached file for details.

    Fichero adjunto:
    Puede ser uno de los siguientes:
    YOUR_DOCUMENT.PIF
    DOCUMENT_ALL.PIF  
    THANK_YOU.PIF
    YOUR_DETAILS.PIF
    DETAILS.PIF
    DOCUMENT_9446.PIF
    APPLICATION.PIF
    WICKED_SCR.SCR
    MOVIE0045.PIF
  • Una vez que el fichero adjunto es ejecutado, el ordenador queda infectado.

2.- Propagación a través de unidades de red compartidas.

Sobig.F crea un bucle que ejecuta cada 30 minutos, y que trata de conectarse a unidades de red compartidas, con el fin de realizar en las mismas una copia del gusano.

Otros detalles:

Para que conozca un poco mejor a Sobig.F, a continuación le presentamos alguna de sus caracteristicas:

  • Ha sido programado en el lenguaje de programación Visual C++, en su versión 6.0.
  • El fichero que transporta el gusano tiene un tamaño variable de entre 70 y 74 Kbytes cuando se encuentra comprimido mediante Telock. El fichero descomprimido tiene un tamaño de 112 KBytes.
 
 
 
Servicios

Buscador de internet

Callejero

Directorio de empresas

Directorio Web

Divisas

El Tiempo

Páginas amarillas

Páginas blancas

Traductor

 
Canales

ADSL

Alimentación

Horóscopo

Compras

Contactos

Formación

Juegos

Lotería

Monografías

Móviles

Viajes

 
Noticias

Noticias

Nacional

Regional

Internacional

Cultura y ocio

Economía y finanzas

Deportes

Sociedad

Ciencia y tecnología

Medicina y salud

 
Recomendamos

Dietas

 

Glosario

 

Weblog
Desarrolado por Hispanetwork