Magasabb veszélyességi kategóriában a Sobig.e@MM

forrás Prim Online, 2003. június 26. 10:02
[smallimage 1 left] Az AVERT, a Network Associates vírusszakértői csoportja magasabb veszélyességi kategóriába sorolta át a W32/Sobig.e@MM féregvírust, a W32/Sobig.c@MM egy újabb változatát.
A vírus a szakértők új közleménye szerint azért "közepesen veszélyes", mert előfordulási gyakorisága az utóbbi órákban megnőtt. A W32/Sobig.e@MM vírust június 25-én fedezték fel, de már a korábbi, 4266-os DAT fájlok tartalmazzák a vírus új variánsának proaktív felismeréséhez szükséges információt.

Hasonlóan a Sobig.d variánshoz, a vírus saját SMTP levelező komponenst is tartalmaz, e-mailen és helyi hálózaton keresztül is terjeszti magát ZIP formátumban, így megkerülve a kiterjesztésekre vonatkozó szabályokat. Ezért a felhasználónak további lépéseket kell tennie a vírus tényleges eltávolításáért. Továbbá egyes levelezőkliensek a kiterjesztést „ZI" ként is megjeleníthetik.

A féreg gépen található WAB, DBX, HTM, HTML, EML és TXT fájlokból összegyűjtött e-mail címekre küldi magát tovább. Az érkező fertőzött e-mail az alábbi ismertetőjegyek alapján azonosítható:

Az e-mail szövege: „Please see the attached zip file for details"

Csatolt állomány: „your_details.zip", amely a details.pif fájlt tartalmazza.

Küldő: a vírus saját, tetszőleges feladót megjelölő e-mailt generál, ezért a látszólagos küldő valószínűleg nem a valódi forrás.

A vírus működésbe lépésekor feltérképezi a hálózatot, és az alábbi helyekre próbálja meg bemásolni magát:

1. \Documents and Settings\All Users\Start Menu\Programs\Startup\

2. \Windows\All Users\Start Menu\Programs\Startup\

3. Installation

Az alábbi fájlokat másolja a %windir% mappába (ahol a %windir% mappa a Windows alapértelmezett mappája, pl.: C:\WINNT, C:\WINDOWS):

1. "winssk32.exe" (~85kB, a vírus másolata)

2. "msrrf.dat" (konfigurációs fájl)

Létrehozza a következő Registry kulcsot, amely a legközelebbi rendszerindításkor lép életbe:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "SSK Service" = %WinDir%\winssk32.exe

(ahol a %windir% mappa a Windows alapértelmezett mappája, pl.: C:\WINNT, C:\WINDOWS)

A W32/Sobig.e@MM vírust a 4266-es DAT fájl W32/Sobig.c@MM néven kezeli, de a teljes védelemhez ebben az esetben szükséges a 4.2.40+ scan engine és a tömörített állományok vizsgálatának engedélyezése is. A 4273-es DAT fájl W32/Sobig.e@MM néven ismeri fel a vírust bármelyik scan engine-nel.

További információ az AVERT javaslatairól és a kockázatfelmérésről