W32.Sobig.C@mm

amvinfe · 01-06-2003, 18:41

Ed ecco una nuova variante di questo mass-mailing worm. La Symantec l'ha portato da un'iniziale allerta 2 (ieri) ad un livello 3, come gli altri si diffonde via mail andando a cercare i contatti della rubrica di un Pc infetto.
E come sempre accade, col cambiare della variante, cambiano mittente, oggetto ed allegati. questa volta il mittente è
[email protected]
l'oggetto è casuale fra questi
Re: Movie
Re: Submited (004756-3463)
Re: 45443-343556
Re: Approved
Approved
Re: Your application
Re: Application
e l'allegato può essere uno di questi
screensaver.scr
movie.pif
submited.pif
45443.pif
documents.pif
approved.pif
application.pif
document.pif
Il worm cessa la sua funzione di infezioni dal giorno 08 Giugno 2003 compreso.
Se l'allegato viene eseguito Sobig.C copia in C:\Windows (9x WinME) C:\Winnt (NT 2000 XP) i seguenti files
mscvb32.exe (è la copia del worm)
msddr.dll
msddr.dat
e System MScvb = %windir%\mscvb32.exe in
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
se la macchina ha un S.O. NT/2000/XP copia anche il valore
System MScvb = %Windir%\mscvb32.exe[b] in
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Cerca le risorse di rete crecando di copiarsi in
Windows\All Users\Start Menu\Programs\StartUp
Documents and Settings\All Users\Start Menu\Programs\Startup

Anche questa variante, come lo è stato per la variante .B, cerca di collegarsi a quattro siti diversi su Geocities per scaricare del software.
La sua rimozione manuale deve essere fatta in modalità provvisoria, terminando dalla propria task (Ctrl+Alt+Canc per 9x Me e Ctrl+Maiusc.+Esc per Nt 2000 XP) il valore
Mscvb32.exe
andando poi a cercare, cancellandole, con la funzione "trova" i files msddr.dll msddr.dat
e per ultimo andando ad eliminare i valori aggiunti nelle chiavi del registro sopra decritte da
Start>Esegui --->regedit--->OK

Marco(amvinfe)

amvinfe · 01-06-2003, 19:39

W32.Sobig.C@mm è scritto in Microsoft Visual C e compresso in UPX, ma con una sua versione modificata, questo per rendere ancor più difficile la sua identificazione.

Marco(amvinfe)

amvinfe · 01-06-2003, 20:19

Oltre al mittente [email protected] la mail ne può avere altri

cheeky_monkey_[xxx]@hotmail.com
suga_babe[xxx]@hotmail.com
soccer_chick_[xxx]@hotmail.com

dove le xxx vengono sostituite da numeri casuali, ad es.

[email protected]
[email protected]
[email protected]

Marco(amvinfe)

amvinfe · 02-06-2003, 09:40

La mail ha questo testo

Please see the attached file.

e si è aggiunto un altro mittente

[email protected]

per un errore nel codice, gli allegati possono avere estensione .PI o .SC, rendendo così l'allegato inoffensivo

Marco(amvinfe)

01-06-2003, 18:41	#1
amvinfe Senior Member Iscritto dal: Aug 2002 Messaggi: 359	W32.Sobig.C@mm Ed ecco una nuova variante di questo mass-mailing worm. La Symantec l'ha portato da un'iniziale allerta 2 (ieri) ad un livello 3, come gli altri si diffonde via mail andando a cercare i contatti della rubrica di un Pc infetto. E come sempre accade, col cambiare della variante, cambiano mittente, oggetto ed allegati. questa volta il mittente è [email protected] l'oggetto è casuale fra questi Re: Movie Re: Submited (004756-3463) Re: 45443-343556 Re: Approved Approved Re: Your application Re: Application e l'allegato può essere uno di questi screensaver.scr movie.pif submited.pif 45443.pif documents.pif approved.pif application.pif document.pif Il worm cessa la sua funzione di infezioni dal giorno 08 Giugno 2003 compreso. Se l'allegato viene eseguito Sobig.C copia in C:\Windows (9x WinME) C:\Winnt (NT 2000 XP) i seguenti files mscvb32.exe (è la copia del worm) msddr.dll msddr.dat e System MScvb = %windir%\mscvb32.exe in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run se la macchina ha un S.O. NT/2000/XP copia anche il valore System MScvb = %Windir%\mscvb32.exe[b] in HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Cerca le risorse di rete crecando di copiarsi in Windows\All Users\Start Menu\Programs\StartUp Documents and Settings\All Users\Start Menu\Programs\Startup Anche questa variante, come lo è stato per la variante .B, cerca di collegarsi a quattro siti diversi su Geocities per scaricare del software. La sua rimozione manuale deve essere fatta in modalità provvisoria, terminando dalla propria task (Ctrl+Alt+Canc per 9x Me e Ctrl+Maiusc.+Esc per Nt 2000 XP) il valore Mscvb32.exe andando poi a cercare, cancellandole, con la funzione "trova" i files msddr.dll msddr.dat e per ultimo andando ad eliminare i valori aggiunti nelle chiavi del registro sopra decritte da Start>Esegui --->regedit--->OK Marco(amvinfe) __________________ Pensi d'avere un file infetto? Invialo a SuspectFile

01-06-2003, 19:39	#2
amvinfe Senior Member Iscritto dal: Aug 2002 Messaggi: 359	Dettagli dell'ultima ora W32.Sobig.C@mm è scritto in Microsoft Visual C e compresso in UPX, ma con una sua versione modificata, questo per rendere ancor più difficile la sua identificazione. Marco(amvinfe) __________________ Pensi d'avere un file infetto? Invialo a SuspectFile

01-06-2003, 20:19	#3
amvinfe Senior Member Iscritto dal: Aug 2002 Messaggi: 359	Ancora informazioni Oltre al mittente [email protected] la mail ne può avere altri cheeky_monkey_[xxx]@hotmail.com suga_babe[xxx]@hotmail.com soccer_chick_[xxx]@hotmail.com dove le xxx vengono sostituite da numeri casuali, ad es. [email protected] [email protected] [email protected] Marco(amvinfe) __________________ Pensi d'avere un file infetto? Invialo a SuspectFile

02-06-2003, 09:40	#4
amvinfe Senior Member Iscritto dal: Aug 2002 Messaggi: 359	La mail ha questo testo Please see the attached file. e si è aggiunto un altro mittente [email protected] per un errore nel codice, gli allegati possono avere estensione .PI o .SC, rendendo così l'allegato inoffensivo Marco(amvinfe) __________________ Pensi d'avere un file infetto? Invialo a SuspectFile

Strumenti
Mostra una versione stampabile Invia questa pagina per email