Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

You are here: Home / Malware / "Sobag": nuevo gusano de propagación masiva

"Sobag": nuevo gusano de propagación masiva

Por Leave a Comment

Hoy, día 13, se ha detectado una explosión en la propagación de este
gusano, especialmente en EE.UU. y países anglosajones. El número de
incidencias contrasta con su simpleza y fácil detección, por lo que
desde Hispasec esperamos no cause excesivas molestias. Ante el probable
desembarco en el resto de países durante las próximas horas, haremos
hincapié en su aspecto más externo, lo que nos permitirá detectarlo
y prevenirlo de forma sencilla.

La utilización de textos fijos para componer los mensajes a través
de los que se distribuye es su particular talón de Aquiles, ya que
facilita al usuario detectarlo por sus rasgos más externos.
Característica que también augura a «Sobag» un ciclo de vida muy
corto.

Remitente:
big@boss.com

Posibles Asuntos:
Re: Movies
Re: Sample
Re: Document
Re: Here is that sample

Nombres de archivo adjunto:
Movie_0074.mpeg.pif
Document003.pif
Untitled1.pif
Sample.pif

Sobag se distribuye a través del correo electrónico, recolectando
direcciones de los archivos con extensiones *.WAB, *.DBX, *.HTM,
*.HTML, *.EML, *.TXT que encuentra en los equipos que infecta.

Cuando logra ejecutarse en un sistema, Sobag se copia en el
directorio de Windows con el nombre WINMGM32.EXE y se asegura
su lanzamiento cada vez que se inicia el sistema con las siguientes
entradas en el registro de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
«WindowsMGM» = \winmgm32.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
«WindowsMGM» = \winmgm32.exe

El gusano también enumera todos los recursos compartidos en las
redes locales, e intenta copiarse con el nombre de WINMGM32.EXE
en los siguientes directorios:

Windows\All Users\Start Menu\Programs\StartUp\
Documents and Settings\All Users\Start Menu\Programs\Startup\

La situación en estos directorios le permite autoejecutarse de
forma automática cuando se inicia el sistema, consiguiendo su
infección.

Soab también intentaba descargar un troyano desde un servidor
web, que copiaba en el directorio de Windows con el nombre de
DWN.DAT y posteriormente ejecutaba. Si bien la página web que
albergaba el troyano ha sido eliminada, por lo que las copias
que se están distribuyendo en la actualidad no pueden llevar
a cabo esta acción.

Como hemos visto se trata de un gusano muy simple que tiene
sus días contados. Una sencilla regla de filtrado, tanto a
nivel de servidor como cliente de correo, permite que podamos
prevenirlo.

Bernardo Quintero
bernardo@hispasec.com

Más información:

WORM_SOBIG.A
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SOBIG.A

W32/Sobig-A
http://www.sophos.com/virusinfo/analyses/w32sobiga.html

I-Worm.Sobig
http://www.avp.ch/avpve/worms/email/sobig.stm

W32.Sobig.A@mm
http://www.sarc.com/avcenter/venc/data/w32.sobig.a@mm.html

W32/Sobig
http://www.pandasoftware.es/virus_info/enciclopedia/verficha.aspx?idvirus=37926&sind=0

W32/Sobig@MM
http://vil.nai.com/vil/content/v_99950.htm

Reader Interactions

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.