W32/Sobig.F

W32/Sobig.F@MM

Nombre:	W32/Sobig.F@MM Alias: W32.Sobig.F@mm, Sobig.F, W32/Sobig.f@MM, WORM SOBIG.F
Tipo:	Gusano
Tamaño:	Variable
Origen:	Internet
Destructivo:	SI
En la calle (in the wild):	SI
Detección y Eliminación	The Hacker 5.5, Registro de Virus al 19/08/2003

Descripción

W32/Sobig.F, es un gusano que se transmite a través de recursos compartidos y de email. Este se envía así mismo a todas las direcciones de e-mail que encuentre en archivos .HTM, .HTML, .TXT, .EML, .DBX, .HLP, .MHT y .WAB utilizando su propio motor SMTP.

Características del mensaje de Email:

Asunto: Variable, el gusano utiliza asuntos de la siguiente lista:

Re: Details
Re: Approved
Re: Re: My details
Re: Thank you!
Re: That movie
Re: Wicked screensaver
Re: Your application
Thank you!
Your details

Cuerpo:

Please, see the attached zip file for details.
see the attached zip file for details.

Archivo Adjunto: Variable, el gusano utiliza aleatoriamente archivos de la siguiente lista:

application.pif
details.pif
document_9446.pif
document_all.pif
movie0045.pif
thank_you.pif
your_details.pif
your_document.pif
wicked_scr.scr

-------------------------------

Cuando se ejecuta se copia a sí mismo en :

%windows\winppr32.exe

%windows\winsst32.dat

Nota: %windows% representa la carpeta de instalación de windows (Ej. c:\windows, c:\winnt)

Además modifica una entrada en el registro para poder ejecutarse en el siguiente reinicio del sistema :

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"TrayX"="%windows%\winppr32.exe /sinc"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"TrayX"="%windows%\winppr32.exe /sinc"

El gusano tiene como fecha de desactivación el día 10 de Setiembre del 2003, se asume que podría estar activo hasta el día 09 de Setiembre del 2003. Sin embargo este puede actualizarse descargando archivos de diferentes sitios Web..