|
VSantivirus No. 1076 Año 7, Miércoles 18 de junio de 2003
W32/Sobig.D. Texto: "See the attached file for details."
http://www.vsantivirus.com/sobig-d.htm
Nombre: W32/Sobig.D
Tipo: Gusano de Internet
Alias: SOBIG.D, W32.Sobig.D@mm, W32/Sobig.d@MM, W32/Sobig.D-mm, Win32/Sobig.D, WORM_SOBIG.D, Win32.HLLM.Reteras.4, I-Worm.Sobig.gen, Win32/Sobig.D,
I-Worm.Sobig.d
Fecha: 18/jun/03
Plataforma: Windows 32-bit
Tamaño: 57,856 bytes
Se trata de una nueva versión del Sobig, y ha sido detectada por primera vez el
18 de junio de 2003. Los primeros reportes indican que se propaga simulando ser un mensaje enviado por
una dirección falsa (admin@support.com). Pero puede ser
cualquier otra dirección también falsa.
La infección ocurre solo si el usuario hace doble clic sobre
el adjunto.
Se recomienda actualizar las bases de datos de sus antivirus, que ya han actualizado las mismas para reconocer esta versión.
El gusano está compilado en Microsoft Visual C ++ (MSVC) y comprimido con una versión modificada de la herramienta UPX, con la intención de dificultar su detección.
El gusano busca archivos con las extensiones .DBX, .EML, .HTM, .HTML, .TXT y .WAB, en todos los discos duros, para extraer direcciones de correo a las que luego se enviarán los mensajes infectados. Esas extensiones incluyen además de páginas Web en archivos temporales, las bases de mensajes y los mensajes del Outlook Express y la libreta de direcciones de Windows.
Para enviarse por correo, el gusano utiliza su propio motor SMTP, no dependiendo del cliente de correo instalado.
Los mensajes enviados poseen las siguientes características:
Como remitente, utiliza una dirección falsa. Puede ser la
siguiente o cualquier otra obtenida en la máquina infectada:
admin@support.com
Texto del mensaje (siempre el mismo):
See the attached file for details.
Como asunto, uno de los siguientes al azar:
Application Ref: 456003
Re: Accepted
Re: App. 00347545-002
Re: Documents
Re: Movies
Re: Screensaver
Re: Your application
Re: Your Application (Ref: 003844)
Your Application
Como datos adjuntos, el gusano con alguno de los siguientes nombres.
Accepted.pif
app003475.pif
Application.pif
Application844.pif
Applications.pif
Document.pif
movies.pif
ref_456.pif
Screensaver.scr
Los archivos PIF (Windows Program Information), normalmente son archivos utilizados para almacenar información relacionada con la ejecución de los programas DOS, pero también pueden incluir código en formatos EXE, COM o BAT en su interior, el cuál puede ser ejecutado por el propio PIF. En este caso son .EXE renombrados como PIF. Para el sistema operativo esto no hace diferencia, y son ejecutados directamente si el usuario hace doble clic sobre ellos.
Esta versión también utiliza adjuntos con extensión .SCR. Por un error en el código, en algunos clientes de correo el adjunto quedará renombrado como .PI o .SC, siendo en ese caso inofensivo. También pueden recibirse mensajes del gusano sin adjunto alguno.
Para seleccionar sus destinatarios, el gusano busca direcciones en la máquina infectada, dentro de archivos con las siguientes extensiones:
.dbx
.eml
.htm
.html
.txt
.wab
El gusano puede provocar mensajes de errores, ya que al enviar sus mensajes puede hacerlo a la propia computadora infectada, incluso con la propia dirección del usuario infectado, como explicamos antes.
Crea los siguientes archivos, algunos copias de si mismo,
otros usados para guardar las direcciones obtenidas en la
máquina infectada, a las que luego se envía:
c:\windows\cftrb32.exe
c:\windows\dftrn32.dat
c:\windows\rssp32.dat
El gusano modifica el registro para autoejecutarse en la máquina infectada al reiniciarse ésta:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
SFtrb Service = c:\windows\cftrb32.exe
Si el sistema operativo es Windows NT, 2000 o XP, también agrega este valor:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
SFtrb Service = c:\windows\cftrb32.exe
NOTA: "C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP y Windows Server 2003).
Si la fecha actual es anterior a la indicada como 02-07-2003 (2 de
julio de 2003), cada 30 minutos el gusano enumera las carpetas compartidas en red, y si tiene los permisos, intentará propagarse a través de recursos compartidos en redes, a otras computadoras, a los siguientes recursos compartidos:
C$
D$
E$
IPC$
Windows 95, 98 y Me:
C:\WINDOWS\All Users\Menú Inicio\Programas\Inicio
Windows XP y 2000:
C:\Documents and Settings
\All Users\Menú Inicio\Programas\Inicio
Windows NT:
C:\WinNT\Profiles
\All Users\Menú Inicio\Programas\Inicio
Las computadoras así infectadas, cargarán al gusano en memoria cuando las mismas sean reiniciadas. En ocasiones, se copia en los directorios raíz o en la carpeta actual.
El gusano tiene como fecha de desactivación el 2 de julio de 2003, por lo que podría estar activo hasta el
1/jul/03. Sin embargo, puede ser actualizado descargando archivos de diferentes sitios.
Para esto, el gusano abre los siguientes puertos de
comunicación:
995
996
997
998
999
Por ellos recibe información de un usuario
remoto, con los enlaces a los sitios que luego se conectará
para descargar otros archivos, incluídas actualizaciones de
si mismo.
Esta versión además, intenta conectarse a servidores NTP (Network Time Protocol). Estos servidores son utilizados para sincronizar la hora de la computadora o servidor con los de otro servidor de referencia.
Reparación manual
Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Borrar los archivos creados por el gusano.
En Windows 95/98/Me/NT/2000
1. Seleccione Inicio, Buscar, Archivos o carpetas
2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de tener seleccionada la opción "Incluir subcarpetas"
3. En "Nombre" ingrese (o corte y pegue), lo siguiente:
cftrb32.exe; dftrn32.dat; rssp32.dat
4. Haga clic en "Buscar ahora" y borre todos los archivos encontrados
5. Cierre la ventana de búsqueda
6. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
En Windows XP
1. Seleccione Inicio, Buscar
2. Seleccione Todos los archivos y carpetas
3. En "Todo o parte del nombre" ingrese (o corte y pegue), lo siguiente:
cftrb32.exe; dftrn32.dat; rssp32.dat
4. Verifique que en "Buscar en:" esté seleccionado "C:"
5. Pinche en "Opciones avanzadas"
6. Seleccione "Buscar en carpetas del sistema"
7. Seleccione "Buscar en subcarpetas"
8. Haga clic en "Buscar ahora" y borre todos los archivos encontrados
9. Cierre la ventana de búsqueda
10. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
SFtrb Service
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
5. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente
entrada (podría no existir):
SFtrb Service
6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|