:

Szerző: Bodnár Ádám

2003. május 19. 12:58

Gyorsan terjed az új email féreg: I-Worm.Sobig.b

[Vírushíradó] 2003. május 18-án késő éjszaka és 19-én kora reggel az F-Secure cég több bejelentést kapott az I-Worm.Sobig.b (I-Worm.Palyh) nevű kártevőről. A féreg maga egy Windows PE EXE fájl, amelyet Microsoft Visual C++ -ben

[Vírushíradó] 2003. május 18-án késő éjszaka és 19-én kora reggel az F-Secure cég több bejelentést kapott az "I-Worm.Sobig.b" (I-Worm.Palyh) nevű kártevőről. A féreg maga egy Windows PE EXE fájl, amelyet Microsoft Visual C++ -ben írtak és UPX-el tömörítettek. A levél mellékletének mérete 49000 és 54000 byte között változik. Amikor tömörítetlen, a féreg kódja 110 kbyte hosszú.

A féreg csak akkor aktiválódik, ha a felhasználó a fertőzött levélmellékletre kattint. Ezután károkozó telepíti magát és megkezdi a továbbterjedést. A telepítés során a féreg a Windows könyvtárba másolja magát "msccn32.exe" néven, majd bejegyzi magát a regisztrációs adatbázisba.

Egy programhiba miatt a kártevő néha rossz könyvtárba készít másolatot magáról (a gyökérkönyvtárba vagy az épp aktuális könyvtárva). Ezekben az esetekben a féreg csak a következő újraindításig marad aktív. Hogy a fertőzött üzeneteket elküldje, a féreg maga kapcsolódik az alapértelmezett SMTP szerverhez. Összegyűjti az fellehető email címeket az összes könyvtárban és helyi lemezen lévő .TXT, .EML, .HTML, .HTM, .DBX, .WAB fájlokból.

A féreg több különféle típusú email üzenetet küld, azonban ezek mindegyike úgy néz ki, mintha a support@microsoft.com címről érkezne. A féreg a Windows könyvtárban egy "hnks.ini" nevű fájlt is létrehoz. Ez tartalmazza az összes email címet amelyet a féreg összegyűjtött. Ha a fertőzés már fennáll, akkor ezt a listát használva az érintettek figyelmeztethetőek.

A féreg felméri az összes elérhető hálózati erőforrást (a hálózatban található többi számítógépet) és ha lehetséges, megkísérli átmásolni magát az auto-start könyvtárukba. A kártevő négy weboldalról tölt le fájlokat, majd futtatja azokat. Ennek eredményeképp képes frissíteni önmagát vagy telepíteni más alkalmazásokat, mint például trójai programokat.

A féreg csak 2003. május 31-ig fog szaporodni. Ezután már nem próbál meg más számítógépekre továbbterjedni, de továbbra is megpróbál majd letölteni és futtatni egyéb programkódokat. Az idő a helyi rendszeridőn alapul, így néhány gép tovább folytathatja a fertőzött levelek küldését, még május vége után is.

a címlapról