Panda Software recomienda extremar las precauciones ante la
aparición del nuevo gusano Sobig.C, del que la multinacional española ha
comenzado a recoger incidencias. Sus antecesores, Sobig y Sobig.B, fueron
capaces de infectar varios entornos empresariales en pocas horas. Por eso, se
recomienda a los clientes que actualicen inmediatamente su antivirus en http://www.pandasoftware.es/descargas/actualizaciones,
o, si no cuentan con ninguna protección, que instalen una cuanto antes para
eliminar el riesgo de resultar afectado por este nuevo código malicioso.
Sobig.C está programado en Microsoft Visual C++, afecta a sistemas Win9x, ME,
NT, 2000 & XP y tiene un tamaño de 59.211 Bytes (comprimido con UPX).
El nuevo gusano Sobig.C, al igual que sus antecesores, es capaz de propagarse
por sí solo, ya que contiene su propio motor SMTP. Así, cuando un ordenador es
afectado, Sobig.C extrae los nombres de sus próximas víctimas de la libreta de
direcciones y se reenvía a todos los contactos.
Además, y siguiendo el "modus operandi" de muchos de los gusanos de última
generación, utiliza la ingeniería social para intentar engañar al usuario, ya
que las direcciones de remite las elige aleatoriamente de la propia libreta de
direcciones, por lo que fácilmente confundirá al usuario al ver éste que el
correo entrante viene de una dirección conocida.
El asunto del mensaje varía entre los siguientes:
Re: 45443-343556
Re: Approved
Approved
Re: Movie
Re: Your application
Re:Application
Re: Submited (004756-3463)
Sobig.C llega con un fichero adjunto, cuyo nombre puede ser alguno de los
siguientes:
Screensaver.scr
movie.pif
submited.pif
45443.pif
approved.pif
application.pif
document.pif
documents.pif
El cuerpo del mensaje es una única frase: "Please, see the attached file."
Una vez en el equipo, el gusano intenta copiarse a sí mismo en las siguientes
direcciones de red, si están accesibles:
· \Documents and Settings\All Users\Start Menu\Programs\Startup\
· \Windows\All Users\Start Menu\Programs\Startup\
Una vez ejecutado, el gusano copia en el directorio %windir% un fichero llamado
"mscvb32.exe", que contiene el código del gusano, y crea otro fichero denominado
msddr.dat.
Además, añade las siguientes entradas en el registro para apoderarse del sistema
cuando éste se reinicia:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
System MScvb = %windir%\mscvb32.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
System MScvb = %windir%\mscvb32.exe (donde %WinDir% es el directorio de Windows
por defecto, por ejemplo, Winnt o Windows).