miércoles, 25 de junio de 2003

Sobig.E, gusano que llega en un .zip

Aunque en las últimas horas se ha detectado un aumento considerable en
su propagación y las casas antivirus ya lo sitúan en alerta media,
parece que podrá ser muy fácil de parar en el perímetro al usar un
texto fijo en el cuerpo del mensaje utilizado para distribuirse. Amén
de que viene con fecha de caducidad, el gusano autodesactiva su
propagación el 14 de julio del presente año.

Los administradores de servidores de correo pueden aplicar sencillos
filtros, o aleccionar a la utilidad antispam de turno, para reconocer
a Sobig.E y evitar que llegue a los usuarios. El mensaje en el que
viaja el gusano tiene las siguientes características:

Cuerpo del mensaje:

Please see the attached file for details.


Asunto (alguno de los siguientes):

referer.pif
004448554.pif
re.document.pif
new_document.pif
submited.pif
Screensaver.scr
movie.pif
Applications.pif
Application.pif
Your application
Re: Re: Document
Re: Re: Application ref. 003644
Re: Documents
Re: Screensaver
Re: Submited (Ref: 003746)
Re: Movies
Re: Movie
Re: Application

Archivo adjunto (alguno de los siguientes):

your details.zip (contiene comprimido el archivo details.pif)
application.zip (contiene comprimido el archivo application.pif)
document.zip (contiene comprimido el archivo document.pif)
screensaver.zip (contiene comprimido el archivo sky.world.scr)
movie.zip (contiene comprimido el archivo Movie.pif)

Por lo demás, esta versión del gusano es similar a sus predecesores,
se distribuye a través de los recursos compartidos de las redes
locales y por e-mail. Las direcciones a las que se envía las recoge
de los archivos con extensión .WAB, .DBX, .HTM, .HTML, .EML y .TXT
que encuentra en los sistemas infectados.

Para aquellos sistemas que hayan sido infectados, es posible la
desinfección manual con unos sencillos pasos:

1. En Windows 9x/ME reiniciar el sistema en modo seguro.
En Windows NT/2000/XP finalizar el proceso winssk32.exe

2. Eliminar los siguientes archivos de la carpeta de Windows

winssk32.exe
msrrf.dat

3. Eliminar las entradas "SSK Service" de las claves del registro
de Windows

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Run "SSK Service" = %WinDir%\winssk32.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run "SSK Service" = %WinDir%\winssk32.exe

4. Si el gusano se ha distribuido a través de los recursos compartidos
de la red local, revisar y eliminar ejecutables sospechosos de las
siguientes carpetas

C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
C:\Windows\All Users\Start Menu\Programs\Startup\


Bernardo Quintero
bernardo@hispasec.com


Más información:

W32/Sobig.e@MM
http://vil.nai.com/vil/content/v_100429.htm

Sobig.E
http://www.pandasoftware.es/virus_info/enciclopedia/detalles.aspx?idvirus=39928

W32/Sobig-E
http://www.sophos.com/virusinfo/analyses/w32sobige.html

W32.Sobig.E@mm
http://www.sarc.com/avcenter/venc/data/w32.sobig.e@mm.html

WORM_SOBIG.E
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SOBIG.E