Nombre de virus: W32/Sobig.e@MM
Alias conocidos: -
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)
Propagación: Como fichero adjunto a e-mail o a través de recursos de red compartidos
Activación: Por ejecución de fichero infectado details.pif
Detección: desde DATS 4273
Motor necesario: desde 4.1.60
Infección actual: Media (Inicial, Media, Elevada)

Propagación por correo electrónico
El gusano se envía a destinatarios que encuentra en la máquina infectada (busca direcciones de envío dentro de ficheros con extensiones .WAB, .DBX, .HTM, .HTML, .EML y .TXT), y construye los mensajes utilizando su propio motor SMTP.

El mensaje de e-mail suele tener el siguiente formato

* Nota: El gusano falsea la dirección remitente (From), por lo que el remitente aparente del mensaje no se corresponde con el remitente real.

Propagación por comparticiones de red
El gusano enumera las comparticiones de red, y se intenta copiar a las siguientes rutas de red si están accesibles:

· \Documents and Settings\All Users\Menú Inicio\Programas\Inicio\

· \Windows\All Users\Menú Inicio\Programas\Inicio\

Instalación del gusano
Una vez se ejecuta, el gusano genera los siguientes ficheros en el directorio %windir%:

· "winssk32.exe" (aprox 85kB) (una copia de sí mismo)

· "msrrf.dat" (fichero de configuración)

· HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Run "SSK Service" = %WinDir%\winssk32.exe

· HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run "SSK Service" = %WinDir%\winssk32.exe

(donde %WinDir% es el directorio por defecto de Windows, por ejemplo C:\WINNT, C:\WINDOWS etc.)

Detección y eliminación
El gusano se controla desde los DAT arriba indicados (4273). Para detener el proceso en memoria del gusano, y eliminar ficheros y claves de registro creadas, pueden ejecutar nuestra utilidad ELISOBIA, que ha sido actualizada patra controlar esta nueva variante.

SATINFO, VIRUSCAN SPAIN SERVICE 26 de Junio de 2003

Anterior