W32.Sobig.E@mm

amvinfe · 26-06-2003, 00:55

W32.Sobig.E@mm

Un’ennesima variante, questa volta più virulenta di quella che l’ha preceduta, del worm che ormai tutti conoscono.
Anche la variante .E si propaga via mail, ma può anche infettare macchine residenti nelle LAN è scritto in C++ e compresso in UPX.
Come scritto è un mass mailing worm, per autoinviarsi usa un proprio motore SMTP andando a cercare gli indirizzi cui inviarsi , nei files aventi queste estensioni:
· WAB
· DBX
· HTM
· HTML
· EML
· TXT
La mail può avere questo mittente

[email protected]

uno di questi “Oggetto”

referer.pif
004448554.pif
re.document.pif
new_document.pif
submited.pif
Screensaver.scr
movie.pif
Applications.pif
Application.pif
Your application
Re: Re: Document
Re: Re: Application ref. 003644
Re: Documents
Re: Screensaver
Re: Submited (Ref: 003746)
Re: Movies
Re: Movie
Re: Application

il corpo del messaggio è

Please see the attached file for details.

Il nome dell’allegato può essere uno di questi, gli allegati della mail saranno tutti con estensione .zip, ma all’interno di ogni file compresso vi è il worm. L’allegato pesa ~ 86,528 Bytes

Movie.zip (Movie.pif)
screensaver.zip (sky_world.scr)
document.zip (document.pif)
application.zip (application.pif)
Your_details.zip(details.pif)

W32.Sobig.E@mm infetta tutti i S.O. Windows e quando viene eseguito, copia i files MSRRF.DAT e WinSSK32.EXE in C:\Windows o C:\WINNT a seconda del S.O. in uso; per potersi eseguire ad ogni riavvio della macchina aggiunge il valore SSK Service = "%Windows%\WinSSK32.EXE" in
HKEY_CURRENT_USER\Software\Microsoft\Win
dows\
CurrentVersion\Run
e SKK Service = "%Windows%\WinSSK32.exe in
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi
ndows\
CurrentVersion\Run

Crea un evento che si chiama “Nuiro.X”, questo per assicurarsi d’avere solo una copia residente in memoria.
Rimozione manuale:
Start>Esegui>regedit
raggiungere la chiave
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
ed eliminare il processo
SKK Service = "%Windows%\WinSSK32.exe
portarsi in
HKEY_CURRENT_USER>Software>Microsoft>
Windows>CurrentVersion>Run
ed eliminare
SSK Service = "%Windows%\WinSSK32.EXE"
chiudere il registro.
Fare una ricerca nel disco del file MSRRF.DAT e cancellarlo
N.B.
Nei S.O. WinMe e WinXP ricordarsi di disabilitare il System Restore.

Marco(amvinfe)

amvinfe · 26-06-2003, 09:34

Questo è un esempio di come può essere una mail con allegato il worm W32.Sobig.E@mm

Marco(amvinfe)

26-06-2003, 00:55	#1
amvinfe Senior Member Iscritto dal: Aug 2002 Messaggi: 359	W32.Sobig.E@mm W32.Sobig.E@mm Un’ennesima variante, questa volta più virulenta di quella che l’ha preceduta, del worm che ormai tutti conoscono. Anche la variante .E si propaga via mail, ma può anche infettare macchine residenti nelle LAN è scritto in C++ e compresso in UPX. Come scritto è un mass mailing worm, per autoinviarsi usa un proprio motore SMTP andando a cercare gli indirizzi cui inviarsi , nei files aventi queste estensioni: · WAB · DBX · HTM · HTML · EML · TXT La mail può avere questo mittente [email protected] uno di questi “Oggetto” referer.pif 004448554.pif re.document.pif new_document.pif submited.pif Screensaver.scr movie.pif Applications.pif Application.pif Your application Re: Re: Document Re: Re: Application ref. 003644 Re: Documents Re: Screensaver Re: Submited (Ref: 003746) Re: Movies Re: Movie Re: Application il corpo del messaggio è Please see the attached file for details. Il nome dell’allegato può essere uno di questi, gli allegati della mail saranno tutti con estensione .zip, ma all’interno di ogni file compresso vi è il worm. L’allegato pesa ~ 86,528 Bytes Movie.zip (Movie.pif) screensaver.zip (sky_world.scr) document.zip (document.pif) application.zip (application.pif) Your_details.zip(details.pif) W32.Sobig.E@mm infetta tutti i S.O. Windows e quando viene eseguito, copia i files MSRRF.DAT e WinSSK32.EXE in C:\Windows o C:\WINNT a seconda del S.O. in uso; per potersi eseguire ad ogni riavvio della macchina aggiunge il valore SSK Service = "%Windows%\WinSSK32.EXE" in HKEY_CURRENT_USER\Software\Microsoft\Win dows\ CurrentVersion\Run e SKK Service = "%Windows%\WinSSK32.exe in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi ndows\ CurrentVersion\Run Crea un evento che si chiama “Nuiro.X”, questo per assicurarsi d’avere solo una copia residente in memoria. Rimozione manuale: Start>Esegui>regedit raggiungere la chiave HKEY_LOCAL_MACHINE>Software>Microsoft> Windows>CurrentVersion>Run ed eliminare il processo SKK Service = "%Windows%\WinSSK32.exe portarsi in HKEY_CURRENT_USER>Software>Microsoft> Windows>CurrentVersion>Run ed eliminare SSK Service = "%Windows%\WinSSK32.EXE" chiudere il registro. Fare una ricerca nel disco del file MSRRF.DAT e cancellarlo N.B. Nei S.O. WinMe e WinXP ricordarsi di disabilitare il System Restore. Marco(amvinfe) __________________ Pensi d'avere un file infetto? Invialo a SuspectFile

26-06-2003, 09:34	#2
amvinfe Senior Member Iscritto dal: Aug 2002 Messaggi: 359	Questo è un esempio di come può essere una mail con allegato il worm W32.Sobig.E@mm Marco(amvinfe) __________________ Pensi d'avere un file infetto? Invialo a SuspectFile

Strumenti
Mostra una versione stampabile Invia questa pagina per email