Портал ISRAland - израильские новости

20.08.2003 | 13:52

Некоторые подробности о вирусе Sobig.F, эпидемия которого продолжается второй день, сообщает "Лаборатория Касперского". По мнению специалистов - это крупнейшая эпидемия почтового червя за последние полтора года.

Вирус Sobig.F распространяется по электронной почте и не использует уязвимости в браузере или почтовой программы для автоматического запуска вложенного в сообщение файла. Вложенный файл с кодом вируса может иметь одно из следующих имен: movie0045.pif, wicked_scr.scr, application.pif, document_9446.pif, details.pif, your_details.pif, thank_you.pif, document_all.pif, your_document.pif

Размер упакованного файла вируса - около 70 Кб, распакованного - около 100 Кб. Число тем сообщения также ограничено: Re: That movie, Re: Wicked screensaver, Re: Your application, Re: Approved, Re: Re: My details, Re: Details, Your details, Thank you!, Re: Thank you!

В теле письма присутствует строка "See the attached file for details" или "Please see the attached file for details." В случае, если пользователь запустит вложенный файл, вирус копирует себя в каталог Windows под именем winppr32.exe и регистрирует этот файл в системном реестре, обеспечивая запуск вредоносного кода после перезагрузки системы. Во всех папках на локальных дисках червь ищет файлы с расширениями *.TXT, *.EML, *.HTML, *.HTM, *.DBX, *.WAB, *.MHT, *.HLP. В этих файлах производится поиск адресов электронной почты.

После этого червь Sobig.F, с помощью встроенного smtp-сервера, рассылает сообщения по обнаруженным адресам. Поле отправителя сообщения подделывается - в него может быть подставлен один из обнаруженных электронных адресов, либо адрес "admin@internet.com". Кроме того, вирус создает файл winstt32.dat в системной папке Windows, в который помещаются все обнаруженные адреса электронной почты. Помимо "работы" на локальных дисках, вирус сканирует все доступные папки в локальной сети и копирует в них себя со случайным именем и расширением .EXE.

Деструктивных функций у червя нет, но он посылает UDP-пакеты на определенные IP-адреса на порт 8998 и ждет команд из сети. По полученной таким образом ссылке, червь может скачать файл и запустить его на выполнение. Таким образом, теоретически возможна установка и запуск новой версии вируса или установка троянской программы. В вирусе запрограммировано прекращение работы до 10 сентября 2003 года.

Первая версия вируса Sobig была обнаружена 9 января 2003 года. Несмотря на то, что код вируса практически не менялся, появление каждой новой версии вызывало довольно большое число заражений. В версии червя Sobig.D, появившейся в июне, также было предусмотрено прекращение работы в определенный день. Вирус Sobig.C отличался от других модификаций тем, что зараженные файлы распространялись с адресом Билла Гейтса (bill@microsoft.com) в поле отправителя. Вирус Sobig.E рассылал зараженный файл в ZIP-архиве.

Читайте последние новости раздела "Технологии":
«NSO Group» заплатит за взлом серверов «WhatsApp»  →
Израиль хочет купить американские ракеты  →
Греция хочет купить израильские подлодки  →
Искусственный интеллект – не только возможности, но и ответственность  →
Иран будет развивать космическую программу  →
Цукерберг дает показания  →

Поделиться:

Компьюлента