W32.Sobig.F@mm

O W32.Sobig.F@mm é um worm de distribuição em massa e um identificador de rede que envia cópias de si mesmo a todos os endereços de e-mail que ele encontrar em arquivos das seguintes extensões:

• .dbx
• .eml
• .hlp
• .htm
• .html
• .mht
• .wab
• .txt

O worm utiliza seu prórpio mecanismo SMTP para propagar-se e tentará criar uma cópia de si mesmo nos compartilhamentos de rede acessíveis, mas não consegue devido a alguns erros em seu código.


Detalhes da rotina de e-mail
A mensagem de e-mail tem as seguintes características:

De: Endereços de e-mail obtidos pelo worm (o que significa que o remetente do campo "De:" muitas vezes não é o real remetente da mensagem). O worm pode usar o endereço admin@internet.com como remetente.

NOTAS:
• Os endereços obtidos para uso no campo Enviar Para são extraídos de arquivos encontrados no computador. Também, o worm pode usar as configurações do computador infectado para encontrar um servidor SMTP ao qual conectar-se.
• A escolha do domínio internet.com parece ser arbitrária e não tem nenhuma relação com o domínio verdadeiro nem com a empresa que o detém.

Assunto:

• Re: Details
• Re: Approved
• Re: Re: My details
• Re: Thank you!
• Re: That movie
• Re: Wicked screensaver
• Re: Your application
• Thank you!
• Your details

Corpo da Mensagem:

• See the attached file for details
• Please see the attached file for details.

Anexo:

• application.zip (contains application.pif)
• details.zip (contains details.pif)
• document_9446.zip (contains document_9446.pif)
• document_all.zip (contains document_all.pif)
• movie0045.zip (contains movie0045.pif)
• thank_you.zip (contains thank_you.pif)
• your_details.zip (contains your_details.pif)
• your_document.zip (contains your_document.pif)
• wicked_scr.zip (contains wicked_scr.scr)

NOTAS:

• O worm é desativado em 10 de setembro de 2003. A última data em que ele irá se propagar será 9 de setembro de 2003.
• A desativação informada acima refere-se apenas à propagação em massa através de e-mail, e à data de desativação do endereço de e-mail. Isto quer dizer que um computador infectado pelo W32.Sobig.F@mm continuará tentando fazer o download de atualizações do worm a partir de sua lista de servidores principais durante o período de ativação associado a infecção, mesmo que este período seja posterior a data de desativação. Variantes anteriores do Sobig exibem comportamento similar.
• No dia 22 de agosto foi observado tráfego UDP de saída a partir de sistemas infectados com ambas as variantes, Sobig.E e Sobig.F. Entretanto, os endereços IP de destino estavam ou não respondendo ou possuíam ou não conteúdo executáveis, como, por exemplo, um link para site material adulto.
• O W32.Sobig.F@mm usa a técnica conhecida como "email spoofing", através da qual ele seleciona aleatoriamente um endereço de e-mail encontrado no computador infectado. Para mais informações a respeito, consulte a seção Detalhes Técnicos abaixo.

O Symantec Security Response criou uma ferramenta para remover o W32.Sobig.F@mm. Esta é a forma mais fácil de se remover esta ameaça.




Devido a natureza da técnica de email spoofing, grande parte do tráfego externo é gerado pelo envio de notificações de vírus remetidas para endereços de e-mail inválidos. Uma solução para reduzir as consequências deste processo é desativar essas mensagens de notificação enviadas pelo gateway e por produtos baseados no servidor e e-mail.