Alerta: gusano Sobig.F se propaga masivamente

En las últimas horas Hispasec ha detectado una gran incidencia de
esta nueva versión del gusano Sobig. Se propaga de forma tradicional,
enviándose como adjunto en un e-mail, y a través de los recursos
compartidos de las redes locales.

En su llegada por e-mail lo podemos identificar de forma fácil al
utilizar algunos de los siguientes campos fijos en la construcción
del mensaje.

Asunto:

Re: That movie
Re: Wicked screensaver
Re: Your application
Re: Approved
Re: Re: My details
Re: Details
Your details
Thank you!
Re: Thank you!

Nombre del archivo adjunto:

movie0045.pif
wicked_scr.scr
application.pif
document_9446.pif
details.pif
your_details.pif
thank_you.pif
document_all.pif
your_document.pif

Cuerpo del mensaje:

See the attached file for details
Please see the attached file for details.

Cuando se ejecuta en un sistema, crea los archivos winppr32.exe y
winsst32.dat en la carpeta de Windows, e introduce dos entradas en
el registro para asegurarse su ejecución cada vez que se inicie el
sistema:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
TrayX = %WindowsDir%\winppr32.exe/sinc

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
TrayX = %WindowsDir%\winppr32.exe/sinc

Además intenta copiarse en todos los recursos compartidos que
encuentra a su alcance para intentar propagarse entre otros equipos
de la red local.

Para propagarse a través del correo electrónico utiliza su propio
motor SMTP y recolecta las direcciones de e-mail a las que enviarse
de los archivos con extensión DBX, HLP, MHT, WAB, EML, TXT, HTM y
HTML que encuentra en el sistema infectado.

Sobig.F incorpora un mecanismo que le permite descargar y ejecutar
archivos en los equipos infectados, lo que facilita al autor la
instalación de troyanos para conseguir acceder a los sistemas,
utilizar los equipos infectados como servidores de correo, o
actualizar el propio gusano.

Su código contiene una lista de servidores maestros a los que el
gusano se conecta a través del puerto UDP/8998 para recoger la
URL donde iniciar la descarga del archivo a instalar. Estas
conexiones con el servidor maestro las realiza los sábados y
domingos entre las 7 y 10 P.M., según el horario UTC (Universal Time
Coordinated). Para conocer la hora UTC, de manera independiente a
la hora local del sistema infectado, se sincroniza conectando con
algunos servidores con servicio NTP a través del puerto UDP/123.

Por último hay que destacar que el gusano viene con fecha de
caducidad, ya que se autodesactiva el 10 de septiembre de 2003.

Para su prevención desde Hispasec recomendamos, como regla básica
general, no abrir o ejecutar archivos no solicitados, y actualizar
puntualmente las soluciones antivirus. En el caso de infección, el
gusano puede ser eliminado borrando las entradas del registro y
archivos que se mencionan en la descripción, o utilizando algunas
de las herramientas gratuitas que las principales casas antivirus
han puesto a disposición de los usuarios de forma gratuita.

Bernardo Quintero
bernardo@hispasec.com

Más información:

Win32.Sobig.F@mm
http://www.bitdefender.com/bd/site/virusinfo.php?menu_id=1&v_id=152

Win32.Sobig.F
http://www3.ca.com/solutions/collateral.asp?CT=27081&CID=49259

W32/Sobig.F@mm
http://www.f-prot.com/news/vir_alert/sobig_f.html

Sobig.F
http://www.f-secure.com/v-descs/sobig_f.shtml

Win32/Sobig.F
http://www.enciclopediavirus.com/virus/vervirus.php?id=515&alerta=1

W32/Sobig.F@MM
http://www.hacksoft.com.pe/virus/w32_sobig_f.htm

I-Worm.Win32.Sobig.F
http://www.globalhauri.com/html/support/virus_read.html?code=IWW3000430

Beware! Yet Another Version of Sobig Is On The Loose
http://www.kaspersky.com/news.html?id=986203

W32/Sobig.F@mm
http://www.norman.com/virus_info/w32_sobig_f_mm.shtml

W32/Sobig.f@MM
http://vil.nai.com/vil/content/v_100561.htm