Hoy, día 13, se ha detectado una explosión en la propagación de este
gusano, especialmente en EE.UU. y países anglosajones. El número de
incidencias contrasta con su simpleza y fácil detección, por lo que
desde Hispasec esperamos no cause excesivas molestias. Ante el probable
desembarco en el resto de países durante las próximas horas, haremos
hincapié en su aspecto más externo, lo que nos permitirá detectarlo
y prevenirlo de forma sencilla.
La utilización de textos fijos para componer los mensajes a través
de los que se distribuye es su particular talón de Aquiles, ya que
facilita al usuario detectarlo por sus rasgos más externos.
Característica que también augura a «Sobag» un ciclo de vida muy
corto.
Remitente:
big@boss.com
Posibles Asuntos:
Re: Movies
Re: Sample
Re: Document
Re: Here is that sample
Nombres de archivo adjunto:
Movie_0074.mpeg.pif
Document003.pif
Untitled1.pif
Sample.pif
Sobag se distribuye a través del correo electrónico, recolectando
direcciones de los archivos con extensiones *.WAB, *.DBX, *.HTM,
*.HTML, *.EML, *.TXT que encuentra en los equipos que infecta.
Cuando logra ejecutarse en un sistema, Sobag se copia en el
directorio de Windows con el nombre WINMGM32.EXE y se asegura
su lanzamiento cada vez que se inicia el sistema con las siguientes
entradas en el registro de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
«WindowsMGM» = \winmgm32.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
«WindowsMGM» = \winmgm32.exe
El gusano también enumera todos los recursos compartidos en las
redes locales, e intenta copiarse con el nombre de WINMGM32.EXE
en los siguientes directorios:
Windows\All Users\Start Menu\Programs\StartUp\
Documents and Settings\All Users\Start Menu\Programs\Startup\
La situación en estos directorios le permite autoejecutarse de
forma automática cuando se inicia el sistema, consiguiendo su
infección.
Soab también intentaba descargar un troyano desde un servidor
web, que copiaba en el directorio de Windows con el nombre de
DWN.DAT y posteriormente ejecutaba. Si bien la página web que
albergaba el troyano ha sido eliminada, por lo que las copias
que se están distribuyendo en la actualidad no pueden llevar
a cabo esta acción.
Como hemos visto se trata de un gusano muy simple que tiene
sus días contados. Una sencilla regla de filtrado, tanto a
nivel de servidor como cliente de correo, permite que podamos
prevenirlo.
bernardo@hispasec.com
Más información:
WORM_SOBIG.A
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SOBIG.A
W32/Sobig-A
http://www.sophos.com/virusinfo/analyses/w32sobiga.html
I-Worm.Sobig
http://www.avp.ch/avpve/worms/email/sobig.stm
W32.Sobig.A@mm
http://www.sarc.com/avcenter/venc/data/w32.sobig.a@mm.html
W32/Sobig
http://www.pandasoftware.es/virus_info/enciclopedia/verficha.aspx?idvirus=37926&sind=0
W32/Sobig@MM
http://vil.nai.com/vil/content/v_99950.htm
Deja una respuesta