Tras los mensajes se encuentra un virus, conocido como Sobig, aunque cada fabricante de sistemas antivirus ha añadido su prefijo a este nombre: W32/Sobig@MM, W32.Sobig.A@mm, W32/Sobig, Sobig, W32/Bigboss@mm. Apareció por primera vez a finales del año pasado, aunque fue en enero cuando cobro mayor fuerza y hoy ya es todo un clasico en cualquier buzon de correo electrónico.

La consultora Messagelabs lo califica de alto riesgo y según los últimos datos ofrecidos ocupa ya la tercera posición en cuanto a correos infectados con virus, un lugar que ya alcanzo durante el mes de enero y que sigue manteniendo durante este mes.

También Kaspersky lab. destaca en su informe mensual de enero el impacto de este gusano que ocupo la cuarta posición con un 6,57% de los mensajes infectados detectados por esta compañía de seguridad informática.

Curiosamente, la española Panda Antivirus no lo incluyo en su ránking de enero, debido quizás a que Inglaterra, los EEUU y Corea, han sido los países más afectados en su propagación, teniendo menor impacto en otros países.

Dada la importancia que esta alcanzando este virus, publicamos a continuación un articulos reproducido de VSAntivirus que nos permitirá comprobar si nuestro sistema ha sido infectado y los distintos metodos existentes para limpiarlo de nuestro equipo... siempre claro que se encuentre presente.


W32/Sobig.A. Mensajes enviados por "[email protected]"
http://www.vsantivirus.com/sobig-a.htm

Nombre: W32/Sobig.A
Tipo: Gusano de Internet
Alias: W32/Sobig@MM, W32.Sobig.A@mm, W32/Sobig, Sobig, W32/Bigboss@mm
Fecha: 9/ene/03
Tamaño: 65,536 bytes (tElock)
Plataforma: Windows 32-bits
Este gusano, escrito en MSVC (MS Visual C++) y comprimido con la utilidad tElock (una herramienta clandestina), se propaga a través de recursos compartidos y correo electrónico. Posee su propia máquina SMTP, por lo que no depende de ningún cliente de correo para enviarse desde una máquina infectada.

La lista de destinatarios (sus próximas víctimas), es tomada del contenido de archivos con las siguientes extensiones:

.txt
.eml
.html
.htm
.dbx
.wab

Los archivos .WAB corresponden a la libreta de direcciones de Windows (Windows Address Book).

El mensaje que se propaga, siempre figura como enviado desde la siguiente dirección electrónica falsa: "[email protected]".

Puede tener alguno de los siguientes Asuntos:

Re: Movies
Re: Sample
Re: Document
Re: Here is that sample

El archivo adjunto (de 65,536 bytes), puede tener uno de estos nombres:

Movie_0074.mpeg.pif
Document003.pif
Untitled1.pif
Sample.pif

El cuerpo del mensaje tiene solo este texto:

Attached file:

El gusano intenta copiarse a los siguientes directorios, en todas las unidades locales y de red con los permisos de lectura/escritura respectivos:

\Windows\All Users\Start Menu\Programs\StartUp
\Documents and Settings\All Users\Start Menu\Programs\Startup

El gusano envía un mensaje a un beeper, conectándose a una dirección en pagers.icq.com, antes de enviar los mensajes infectados.

Como Actúa?

El gusano se copia a la siguiente ubicación:

C:\Windows\Winmgm32.exe

Y también crea los siguientes archivos:

C:\Windows\Sntmls.dat
C:\Windows\Dwn.dat

Luego, crea un proceso en memoria con el archivo "C:\Windows\Winmgm32.exe", y lo inicializa, con lo cuál logrará realizar las siguientes tareas:

1. Crea un Mutex con el nombre "Worm.X" (un "mutex" es una marca para impedir se vuelva a ejecutar el mismo proceso, en este caso, la ejecución en otro hilo del propio gusano).

2. Crea un hilo para enviar el mensaje al beeper en la dirección pagers.icq.com

3. Crea un hilo para descargar un archivo de texto de una página en www.geocities.com, el cuál ya fue retirado.

Este texto tendría la dirección para descargar otro archivo y ejecutarlo en la máquina infectada (http://www.doesnotexist.com/blah.txt, aunque no es un archivo de texto).

En principio, este archivo era grabado con el nombre de "dwn.dat" en el directorio de Windows. En las versiones examinadas, se trata de una variante del troyano "Zasil" (ver "Troj/Zasil. Muestra una imagen pornográfica", http://www.vsantivirus.com/zasil.htm).

4. Crea un hilo para buscar en toda la red recursos compartidos a los que pueda copiarse, y se copia en ellos cómo vimos al principio.

5. Crea un hilo para enviar mensajes infectados a todas las direcciones de correo recolectadas de archivos cuyas extensiones ya mencionamos.

El gusano también crea las siguientes entradas en el registro para autoejecutarse en cada reinicio del sistema (solo se crea la segunda si ya existe la rama respectiva):

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WindowsMGM = C:\Windows\Winmgm32.exe

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WindowsMGM = C:\Windows\Winmgm32.exe

En todos los casos, "C:\Windows" y "C:\Windows\System" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como "C:\WinNT", "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).

Herramientas para quitar el W32/Sobig.A de un sistema infectado

Reparación manual

Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.

1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos,

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados

Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

C:\Windows\Winmgm32.exe
C:\Windows\Sntmls.dat
C:\Windows\Dwn.dat

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Borre también los mensajes electrónicos similares al descrito antes.

Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

WindowsMGM

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama (puede no existir):

HKEY_CURRENT_USER
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

5. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

WindowsMGM

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Symantec ofrece una utilidad FixSobig.exe (164 Kb) que permite la desinfección de este virus: FixSobig: http://securityresponse.symantec.com/avcenter/FixSobig.exe

Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.