NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es

Anterior

 

Nueva variante de w32/Sobig, de envío masivo. Puede propagar a través de comparticiones red o llegar en mensajes de correo electrónico con diferentes remitentes falsos.

Nombre de virus: W32/Sobig.c@MM
Alias conocidos: -
Riesgo Infección: Alto (Bajo, Medio, Alto, Muy Alto)
Propagación: Como fichero adjunto a e-mail o a través de recursos de red compartidos
Activación: Por ejecución de fichero infectado (.pif o .scr)
Detección: desde DATS 4268 o como w32/Sobig.dam con DATS 4267
Motor necesario: desde 4.1.60
Infección actual: Media (Inicial, Media, Elevada)

Este gusano, al igual que sus variantes previas, se propaga por e-mail a todos los contactos de la libreta de direcciones de Windows (Windows Address Book) y utiliza su propio motor SMTP para construir los mensajes salientes.

También se propaga por recursos de red compartidos.

 

Propagación por correo electrónico
El gusano se envía a destinatarios que encuentra en la máquina infectada (busca direcciones de envío dentro de ficheros con extensiones .WAB, .DBX, .HTM, .HTML, .EML y .TXT), y construye los mensajes utilizando su propio motor SMTP.

El mensaje de e-mail suele tener el siguiente formato

Remitente: <es variable, puede ser cualquier dirección seleccionada al azar por el gusano>

Asunto: (uno de los siguientes)

· Approved

· Re: 45443-343556

· Re: Application

· Re: Approved

· Re: Movie

· Re: Screensaver

· Re: Submited (004756-3463)

· Re: Your application

 

Adjunto: (uno de los siguientes)

· 45443.pif

· application.pif

· approved.pif

· document.pif

· documents.pif

· movie.pif

· screensaver.scr

· submited.pif

 


Mensaje: Please see the attached file.

 

Propagación por comparticiones de red
El gusano enumera las comparticiones de red, y se intenta copiar a las siguientes rutas de red si están accesibles:

· \Documents and Settings\All Users\Menú Inicio\Programas\Inicio\

· \Windows\All Users\Menú Inicio\Programas\Inicio\

 

Instalación del gusano
Una vez se ejecuta, el gusano genera los siguientes ficheros en el directorio %windir%:

· "mscvb32.exe" (aprox 50kB) (una copia de sí mismo)

· "msddr.dat" (fichero de configuración)

Añade las siguientes claves de registro para provocar su ejecución al iniciar el sistema:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"System MScvb" = %WinDir%\mscvb32.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"System MScvb" = %WinDir%\mscvb32.exe

(donde %WinDir% es el directorio por defecto de Windows, por ejemplo C:\WINNT, C:\WINDOWS etc.)

 

Detección y eliminación
El gusano se controla desde los DAT arriba indicados (4268). Para detener el proceso en memoria del gusano, y eliminar ficheros y claves de registro creadas, pueden ejecutar nuestra utilidad EliSobiA.EXE

Pulse aquí para descargar ELISOBIA.EXE

Nota adicional: Al margen de w32/Sobig.c@MM, durante la publicación de este documento se ha detectado la presencia de un nueva variante de virus w32/Fizzer. Aprovechamos esta descripción para comunicarles que su detección será incluida en los próximos DAT 4269 o mediante la copia de fichero EXTRA.DAT en el directorio del antivirus.

Pulse aquí para descargar EXTRA.DAT

 

 

SATINFO, VIRUSCAN SPAIN SERVICE 03 de Junio de 2003

Anterior