Kolejny groźny wirus atakuje w internecie

Pojawił sie nowy wirus Sobig.F. Przysparza on wiele problemów administratorom sieci. W ciągu pierwszych kilku godzin ataku Sobiga jeden tylko dostawca usług sieciowych, MessageLabs, musiał wstrzymać dostarczenie 100 tysięcy zainfekowanych listów. (więcej poniżej)

Zamów Newsletter Wirtualnemedia.pl wersja bezpłatna - wysyłany codziennie do 7.00 - aktualne wiadomości ze świata mediów, internetu i reklamy na Twój adres emailowy - informacje o konkursach - inne dodatkowe "ekskluzywne" informacje W pole "adres-email" należy wpisać adres emailowy i następnie zatwierdzić (trzeba wcisnąć przycisk). Po wykonaniu tych czynności na podany adres emailowy przyjdzie email z prośbą o potwierdzenie.

Wirus dokleja sie do książki adresowej, następnie wybiera największy objętościowo e-mail i zaczyna go rozsyłać. Ponieważ przy tym uszkadza go, mail zostaje zwrócony do niczego nieświadomego nadawcy. W ten sposób otrzymuje on kilkanaście lub kilkadziesiąt "informacji o niedostarczeniu maila" co skutecznie zapycha mu skrzynkę, jednocześnie generując duży ruch na sieci i spowalniając ją.

Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego o następujących parametrach:
Temat: [jeden z poniższych]
Re: That movie
Re: Wicked screensaver
Re: Your application
Re: Approved
Re: Re: My details
Re: Details
Your details
Thank you!
Treść: [jedna z poniższych]
Please see the attached file for details.
See the attached file for details
Załącznik: [jeden z poniższych]
movie0045.pif
wicked_scr.scr
application.pif
document_9446.pif
details.pif
your_details.pif
thank_you.pif
document_all.pif
your_document.pif
Adres nadawcy zainfekowanej wiadomości wybierany jest losowo przez robaka, podobnie jak adres odbiorcy. Zatem otrzymanie listu z robakiem nie oznacza bynajmniej, że adres znajdujący się w polu nadawcy należy do zainfekowanego użytkownika.
Wirus ma 72 KB. Po uruchomieniu przez użytkownika pliku załącznika robak tworzy na dysku swoją kopię w pliku winppr32.exe oraz tak modyfikuje Rejestr, by kopia "szkodnika" była uruchamiana przy każdym starcie systemu Windows. W kolejnym etapie swego działania robak rozprzestrzenia się w sieci lokalnej, starając się stworzyć swoje kopie na innych komputerach w następujących katalogach, jeżeli są dostępne do zapisu:
C:WindowsAll UsersStart MenuProgramsStartUp
C:Documents and SettingsAll UsersStart MenuProgramsStartup
Na koniec robak rozsyła własne kopie za pomocą poczty elektronicznej do wszystkich adresatów znalezionych w plikach z rozszerzeniami WAB, DBX, HTM, HTML, EML i TXT.