• Herramientas para quitar todas las versiones de Sobig

Este gusano se propagó rápidamente desde su aparición en las primeras horas del martes 19 de agosto de 2003. Escrito en Microsoft Visual C++ 6.0 y comprimido con la utilidad TeLock, utiliza el correo electrónico y los recursos compartidos en redes. Posee, como las variantes anteriores "fecha de caducidad", y funcionaría hasta la medianoche del 9 de setiembre de 2003.

Una de las razones de su gran propagación, es que ejecuta su rutina de envío de mensajes infectados, cada 10 segundos, utilizando direcciones robadas de la máquina infectada.

Por otra parte, la dirección que figura como remitente siempre es falsa, y puede ser cualquiera de dichas direcciones. Dicho de otro modo, el que figura como remitente no es el que realmente envía el mensaje, además de que esa persona no necesariamente tiene que estar infectada para que ello ocurra. Es suficiente conque algunos de sus mensajes, páginas Web o cualquier clase de texto conteniendo su dirección, esté presente en cualquier computadora infectada, para que pueda ser "elegido" como remitente.

Además de ello, el que recibe el mensaje, debe ejecutar el adjunto (doble clic), para infectarse.

Cuando ello ocurre, entonces el gusano se copia a si mismo en la carpeta de Windows:

c:\windows\winppr32.exe

También crea los siguientes archivos (no en el mismo momento):

c:\windows\winstt32.dat
c:\windows\winstf32.dll

WINSTT32.DAT contendrá las direcciones recolectadas en la máquina infectada.

NOTA: "C:\Windows" puede variar de acuerdo a la versión de Windows instalada (por defecto "C:\Windows" en Windows 9x/ME/XP o "C:\WinNT" en Windows NT/2000).

El gusano agrega las siguientes entradas en el registro para autoejecutarse en cada reinicio de Windows (según el sistema operativo, se agregará o no la segunda entrada):

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
TrayX = c:\windows\winppr32.exe /sinc

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
TrayX = c:\windows\winppr32.exe /sinc

El gusano utiliza su propio motor SMTP para enviarse por e-mail, por lo que es independiente del cliente de correo instalado.

Cómo dijimos, se envía en mensajes electrónicos, cada 10 segundos, a todas las direcciones de correo electrónico recolectadas de todos los archivos de la máquina infectada que posean estas extensiones:

.dbx
.eml
.hlp
.htm
.html
.mht
.txt
.wab

Los mensajes tienen estas características:

De: (cualquier remitente)

Cómo remitente, utiliza cualquier dirección real encontrada en la máquina infectada. De ese modo, el mensaje casi siempre parecerá venir de alguien conocido, cuando realmente dicha persona nunca lo envía.

En ocasiones, puede utilizar la dirección admin@internet.com o una combinación como XXXX@XXinternet.com donde las "X" son letras al azar o parte de otras direcciones.

Para: (la dirección del destinatario)

Utiliza la verdadera dirección a la que se envía.

Asunto: (uno de los siguientes):

Re: Approved
Re: Details
Re: Re: My details
Re: Thank you!
Re: That movie
Re: Wicked screensaver
Re: Your application
Thank you!
Your details

Texto: (uno de los siguientes):

Please see the attached file for details.

See the attached file for details

Como datos adjuntos, un archivo con el gusano propiamente dicho, y con alguno de los siguientes nombres:

movie0045.pif
wicked_scr.scr
application.pif
document_9446.pif
details.pif
your_details.pif
thank_you.pif
document_all.pif
your_document.pif

El gusano agrega basura al final de su código, por lo que el tamaño final del adjunto puede variar (de 70 Kb a 100 Kb aprox.).

En ocasiones, puede enviarse algún mensaje sin adjunto alguno, pero con las demás características descriptas.

En todos los casos, el gusano incluye el siguiente texto en el cabezal (header) del mismo (propiedades del mensaje).

X-MailScanner: Found to be clean

Nota: Esta cadena la agrega también algún software antivirus legítimo.

El gusano también intenta propagarse cada 30 minutos, a través de recursos compartidos en redes, copiándose en las carpetas de autoejecución de dichos recursos. Para ello utiliza las rutinas APIs de Windows. API (Application Program Interface), son un conjunto de rutinas utilizadas por un programa, para solicitar y efectuar servicios que son ejecutados por el propio sistema operativo.

Utiliza el protocolo NTP (Network Time Protocol) para conectarse cada 60 minutos por el puerto UDP/123, a un servidor que le indica la fecha y la hora actual. Si la misma es 10 de setiembre de 2003 o posterior, el gusano finaliza su ejecución en toda las máquinas infectadas. Esta característica es similar a las de versiones anteriores del gusano.

Posee además la capacidad de descargar y ejecutar archivos desde Internet, incluyendo su propia actualización. Cada 60 minutos, el gusano envía un paquete de prueba por el puerto UDP/8998 a un servidor maestro. El servidor responde con una dirección URL, a las que el gusano se conectará para descargar cualquier archivo ejecutable. Estas descargas, según el código del gusano, se realizarán un viernes o un domingo, entre las 7 PM y 10 PM, según la hora UTC/GMT.

Las descargas pueden ser actualizaciones de si mismo, o cualquier otra aplicación, incluidos troyanos, virus, etc.

El gusano también abre cualquier puerto UDP en el rango 995 a 999, para recibir datagramas que le permitirán actualizar la lista de servidores a los que se conectará, incluido el servidor maestro mencionado antes.

El autor también ha utilizado las características de conectividad del gusano, para robar información confidencial de los sistemas infectados, y para usarlos como servidores proxy en el envío masivo de spam.


Reparación manual

Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Más información:

Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm


Deshabilitar las carpetas compartidas

Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.


Finalizando el proceso del virus en memoria

Para eliminar manualmente este gusano de un sistema infectado, siga estos pasos:

1. Detenga el proceso del virus en memoria:

a. en Windows 9x y Me, pulse CTRL+ALT+SUPR.
b. en Windows NT/2000/XP pulse CTRL+SHIFT+ESC.

2. En ambos casos, en la lista de tareas, señale la(s) siguiente(s):

WINPPR32.EXE

3. Seleccione el botón de finalizar tarea.

En Windows NT/2000 o XP, deberá seleccionar esta última opción en la lengüeta Procesos.


Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

c:\windows\winppr32.exe
c:\windows\winstt32.dat
c:\windows\winstf32.dll

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Borre también los mensajes electrónicos similares al descripto antes.


Editar el registro

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

TrayX

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

5. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

TrayX

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Herramientas para quitar automáticamente el gusano

Herramienta de F-Secure Corporation
Descargue "f-sobig.zip" de este enlace, descomprímalo y ejecute "f-sobig.exe":
http://www.videosoft.net.uy/f-sobig.zip (49 Kb)
Otra opción, descargue directamente "f-sobig.exe" y ejecútelo:
http://www.videosoft.net.uy/f-sobig.exe (106 Kb)
Copyright (c) 2003, F-Secure Corporation. All rights reserved.


Herramienta de Panda Software
Descargue "Pqremove.com" de este enlace (1.2Mb) y ejecútelo en su sistema:
http://updates.pandasoftware.com/pq/gen/sobigf/pqremove.com
Copyright (C) Panda Software 2003.


Herramienta de Symantec
Descargue la utilidad "FixSbigF.exe" (164 Kb) y ejecútela en su sistema:
http://securityresponse.symantec.com/avcenter/FixSbigF.exe
Copyright (C) Symantec 2003.


Herramienta de Kaspersky Antivirus
Descargue "CLRAV" de este enlace, donde hay instrucciones:
http://www.vsantivirus.com/util-clrav.htm
Copyright (C) Kaspersky Lab 2000-2003. All rights reserved.


Información adicional

IMPORTANTE

Si usted utiliza su PC, o pertenece a una organización que por su naturaleza exige ser totalmente segura, se recomienda borrar todo el contenido del disco duro, reinstalar de cero el sistema operativo, y recuperar sus archivos importantes de copias de respaldo anteriores.

También instale los parches mencionados más adelante.

Luego cambie todas sus contraseñas, incluso la de otros usuarios a los que tenga acceso desde su computadora.

En el caso de una empresa con redes corporativas, contacte con su administrador para tomar las acciones necesarias a fin de cambiar todas las claves de acceso, así como reinstalar Windows en todas las computadoras.

Esta es la única manera segura de no comprometer su seguridad ante los posibles cambios realizados por el gusano.


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm


Actualizaciones:

19/ago/03 (10:50) - Actualización de la descripción
19/ago/03 (12:50) - Herramienta de F-Secure
19/ago/03 (15:50) - Actualización de la descripción
19/ago/03 (16.05) - Herramienta de Panda
19/ago/03 (16.15) - Herramienta de Symantec
20/ago/03 (01:15) - Descripción ampliada
21/ago/03 (00:10) - Descripción ampliada
23/ago/03 (02:06) - Herramienta de Kaspersky




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com