Egy új féregvírus terjed: Sobig
[Vírushíradó] Az elektronikus levelekben és hálózati megosztásokon keresztül terjedő Sobig férget január 9-én fedezték fel az interneten. A kártevő hátsóajtó (backdoor) programot próbál letölteni és telepíteni a fertőzött gépekre, azonban az erre szolgáló honlapokat a Geocities amerikai internetszolgáltatónál már blokkolták.
A vírus átnézi a gépen található fájlokat és a WAB, DBX, HML, HTML, EML, TXT kiterjesztésű állományokból kigyűjti az e-mailcímeket tömeges levélküldés céljából. A feladó e-mailcíme hamis, mindig big@boss.com. A tárgy szövege változó. A féregvírus saját SMTP funkcióval rendelkezik, így a fertőzött gépen lévő levelezőprogram beállításai nincsenek hatással terjedésére.
A Sobig helyi hálózaton keresztül is terjed, a fertőzött gépről elérhető összes hálózati megosztást végigpásztázza és az alábbi két hely valamelyikébe másolja magát:
WindowsAll UsersStart MenuProgramsStartUp
Documents and SettingsAll UsersStart MenuProgramsStartup
Amikor a vírus aktivizálódik, a Windows rendszerkönyvtárba másolja magát winmgm32.exe néven, majd létrehozza az ehhez tartozó indítókulcsot a regisztrációs adatbázisban. Ezután a vírus a gép minden indításakor betöltődik a Windows mappából.
A Sobig féreg olyan funkciót is tartalmaz, amely letölt egy szöveges állományt a www.geocities.com/reteras/reteral.txt helyről. Ebben a fájlban olyan webhelyek listája található, ahonnan egyéb kártékony programokat tölthet le és telepíthet a fertőzött gépre a Sobig. A jelen leírás készítésének időpontjában azonban ez a funkció működésképtelen volt, a webhelyet időközben megszüntették.