Descoberta: May 31, 2003
Atualizado: February 13, 2007 12:06:15 PM
Também conhecido como: W32/Sobig.c@MM [McAfee], Win32/Sobig.C [ESET], Sobig.C [F-Secure], I-Worm.Sobig.c [KAV], WORM_SOBIG.C [Trend], Win32.Sobig.C [CA], W32/Sobig-C [Sophos]
Tipo: Worm
Extensão da infecção: About 59kb
Sistemas afetados: Windows


O W32.SoBig.C@mm é um worm de distribuição em massa que envia cópias de si mesmo a todos os endereços de e-mail que ele encontrar em arquivos das seguintes extensões:

  • .wab
  • .dbx
  • .htm
  • .html
  • .eml
  • .txt
O e-mail tenta se fazer passar por uma mensagem enviada pela Microsoft (bill@microsoft.com).

Detalhes da rotina de envio por e-mail
A mensagem de e-mail possui as seguintes características:

De: bill@microsoft.com (O W32.Sobig.C@mm modifica esse campo, que pode conter qualquer endereço)

Assunto: A linha de assunto pode ser uma destas:
  • Re: Movie
  • Re: Submited (004756-3463)
  • Re: 45443-343556
  • Re: Approved
  • Approved
  • Re: Your application
  • Re: Application
Corpo da mensagem: Please see the attached file (Por favor, veja o arquivo anexo).

Anexo: O nome do anexo será um dos seguintes:
  • screensaver.scr
  • movie.pif
  • submited.pif
  • 45443.pif
  • documents.pif
  • approved.pif
  • application.pif
  • document.pif

NOTA: O worm é desativado em 08/06/2003, por isso a última data em que ele irá se propagar será 07/06/2003.

O Symantec Security Response criou uma ferramenta para remover do W32.Sobig.C@mm.

Datas da proteção antivírus

  • Versão inicial do Rapid Release June 01, 2003
  • Última versão do Rapid Release September 28, 2017 revisão 037
  • Versão inicial diária certificada June 01, 2003
  • Última versão diária certificada September 29, 2017 revisão 001
  • Data da versão inicial semanal certificada June 01, 2003

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

Escrito por: Douglas Knowles

Descoberta: May 31, 2003
Atualizado: February 13, 2007 12:06:15 PM
Também conhecido como: W32/Sobig.c@MM [McAfee], Win32/Sobig.C [ESET], Sobig.C [F-Secure], I-Worm.Sobig.c [KAV], WORM_SOBIG.C [Trend], Win32.Sobig.C [CA], W32/Sobig-C [Sophos]
Tipo: Worm
Extensão da infecção: About 59kb
Sistemas afetados: Windows


Quando o W32.SoBig.C@mm é ativado, ele executa as seguintes ações:

  1. Cria uma cópia de si mesmo como %Windir%\mscvb32.exe.

    NOTA: %Windir% é uma variável. O worm localiza a pasta de instalação do Windows (por padrão, C:\Windows ou C:\Winnt) e faz uma cópia de si mesmo nesse local.

  2. Cria os seguintes arquivos:
    • %Windir%\msddr.dll
    • %Windir%\msddr.dat

  3. Adiciona o valor:

    "System MScvb"="%Windir%\mscvb32.exe"

    a chave de registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    para que o W32.SoBig.C@mm seja executado sempre que o Windows for iniciado.

  4. Se o sistema operacional for Windows NT/2000/XP, o worm também adicionará o valor:

    "System MScvb"="%Windir%\mscvb32.exe"

    a chave de registro:

    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  5. Enumera os recursos da rede e cria uma cópia de si mesmo nas seguintes pastas:
    • Windows\Todos os Usuários\Menu Iniciar\Programas\Iniciar
    • Documentos e Configurações\Todos os Usuários\Menu Iniciar\Programas\Iniciar

  6. Tenta fazer o download de dados a partir de quatro diferentes páginas do GeoCities as serão armazenadas nos arquivos ini mencionados acima.


O W32.Sobig.C@mm também reconhece as características da rede da qual faz parte a máquina infectada. Ele desconsidera os recursos da rede e cria uma cópia de si mesmo nas pastas seguintes dos outros computadores, aos quais ele tem acesso:
  • Windows\Todos os Usuários\Menu Iniciar\Programas\Iniciar
  • Documentos e Configurações\Todos os Usuários\Menu Iniciar\Programas\Iniciar


Recomendações

Symantec Security Response encourages all users and administrators to adhere to the following basic security "best practices":

  • Use a firewall to block all incoming connections from the Internet to services that should not be publicly available. By default, you should deny all incoming connections and only allow services you explicitly want to offer to the outside world.
  • Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised.
  • Ensure that programs and users of the computer use the lowest level of privileges necessary to complete a task. When prompted for a root or UAC password, ensure that the program asking for administration-level access is a legitimate application.
  • Disable AutoPlay to prevent the automatic launching of executable files on network and removable drives, and disconnect the drives when not required. If write access is not required, enable read-only mode if the option is available.
  • Turn off file sharing if not needed. If file sharing is required, use ACLs and password protection to limit access. Disable anonymous access to shared folders. Grant access only to user accounts with strong passwords to folders that must be shared.
  • Turn off and remove unnecessary services. By default, many operating systems install auxiliary services that are not critical. These services are avenues of attack. If they are removed, threats have less avenues of attack.
  • If a threat exploits one or more network services, disable, or block access to, those services until a patch is applied.
  • Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services.
  • Configure your email server to block or remove email that contains file attachments that are commonly used to spread threats, such as .vbs, .bat, .exe, .pif and .scr files.
  • Isolate compromised computers quickly to prevent threats from spreading further. Perform a forensic analysis and restore the computers using trusted media.
  • Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched.
  • If Bluetooth is not required for mobile devices, it should be turned off. If you require its use, ensure that the device's visibility is set to "Hidden" so that it cannot be scanned by other Bluetooth devices. If device pairing must be used, ensure that all devices are set to "Unauthorized", requiring authorization for each connection request. Do not accept applications that are unsigned or sent from unknown sources.
  • For further information on the terms used in this document, please refer to the Security Response glossary.

Escrito por: Douglas Knowles

Descoberta: May 31, 2003
Atualizado: February 13, 2007 12:06:15 PM
Também conhecido como: W32/Sobig.c@MM [McAfee], Win32/Sobig.C [ESET], Sobig.C [F-Secure], I-Worm.Sobig.c [KAV], WORM_SOBIG.C [Trend], Win32.Sobig.C [CA], W32/Sobig-C [Sophos]
Tipo: Worm
Extensão da infecção: About 59kb
Sistemas afetados: Windows


Remoção usando a ferramenta de remoção do W32.SoBig.C@mm
O Symantec Security Response criou uma ferramenta que remove o W32.SoBig.C@mm. Esta é a maneira mais fácil de remover esta ameaça.

Remoção Manual
Como alternativa ao uso da ferramenta, você pode remover esta ameaça manualmente.

As instruções a seguir são pertinentes a todos os atuais e recentes produtos antivírus da Symantec, incluindo os produtos das linhas Symantec AntiVirus e Norton AntiVirus.

  1. Atualize as definições de vírus.
  2. Siga uma das instruções a seguir:
    • Windows 95/98/Me: Reinicie o computador em Modo de Segurança.
    • Windows NT/2000/XP: Finalize o processo do Cavalo de Tróia.
  3. Execute uma verificação completa no sistema e exclua todos os arquivo detectados como W32.Sobig.C@mm.
  4. Localize e exclua os arquivos usando o utilitário Localizar ou Pesquisar do Windows.
  5. Exclua o valor adicionado pelo worm da chave de registro.
Para maiores detalhes sobre como fazer isto, leia as seguintes instruções.

1. Para atualizar as definições de vírus:
O Symantec Security Response efetua completos testes em todas as definições de vírus para garantir sua qualidade antes das mesmas serem postadas em nossos servidores. Existem duas formas de se obter as mais recentes definições de vírus:
  • Executando o LiveUpdate: esta é a maneira mais fácil de se obter as definições de vírus. Estas definições são postadas nos servidores do LiveUpdate semanalmente (normalmente às Quartas-feiras), a não ser que haja uma significativa explosão de vírus. Para determinar se definições para esta ameaça estão disponíveis através do LiveUpdate, consulte o item "Definições de Vírus (LiveUpdate)", na seção "Proteção", no topo deste alerta.
  • Fazer o donwload das definições de vírus usando o Intelligent Updater. As definições de vírus do Intelligent Updater são postados nos Estados Unidos nos dias úteis (Segunda a Sexta-feira). Você deve fazer o download das definições a partir do website do Symantec Security Response e instalá-las manualmente. Para determinar se as definições para esta ameaça estão disponíveis através do Intelligent Updater, consulte o item Definições de Vírus (Intelligent Updater), na seção "Proteção" no topo deste alerta.

Para instruções detalhadas sobre como fazer o download e instalar as definições de vírus do Intelligent Updater a partir do site do website do Symantec Security Response consulte o documento Como atualizar os arquivos de definição de vírus usando o Intelligent Updater .

2. Para reiniciar o computador em Modo de segurança ou finalizar o processo do Cavalo de Tróia
    Windows 95/98/Me
    Reinicie o computador em Modo de segurança. Todos os sistemas operacionais de 32-bits, com exceção do Windows NT, podem ser inicializados em Modo de Segurança. Para instruções sobre como fazer isso, consulte o documento Como iniciar o Windows 95/98/Me no Modo de Segurança.

    Windows NT/2000/XP
    Para finalizar o processo do Cavalo de Tróia:
    1. Pressione as teclas Ctrl+Alt+Delete uma vez.
    2. Clique em Gerenciador de Tarefas.
    3. Clique na guia Processos.
    4. Clique duas vezes sobre a coluna Nome da Imagem para ordenar os processos em ordem alfabética.
    5. Role a lista e procure por Mscvb32.exe.
    6. Se você encontrar o arquivo, clique sobre ele e então clique no botão Finalizar Processo.
    7. Saia do Gerenciador de Tarefas.

3. Para verificar e excluir arquivos infectados:
  1. Inicie seu programa de antivírus da Symantec, e configure-o para verificar todos os arquivos.
  2. Execute uma verificação completa no sistema.
  3. Se algum arquivo for detectado como infectado pelo W32.SoBig.C@mm, clique em Excluir.

4. Para encontrar e excluir os arquivos

Siga as instruções para seu sistema operacional:
  • Windows 95/98/Me/NT/2000
    1. Clique em Iniciar, Localizar ou Pesquisar, e clique em Arquivos ou Pastas.
    2. Certifique-se de que a unidade C esteja selecionada no campo "Examinar em" e que a opção "Incluir subpastas" esteja marcada.
    3. No campo "Nome" ou "Procurar por" digite - ou copie e cole - os seguntes nomes de arquivo:

      msddr.dll msddr.dat

    4. Clique em Localizar agora ou Pesquisar.
    5. Exclua os arquivos encontrados.

  • Windows XP
    1. Clique em Iniciar e em Pesquisar.
    2. Clique em Todos os arquivos ou pastas.
    3. No campo "Todo ou parte do nome do arquivo"digite - ou copie e cole - os nomes de arquivo:

      msddr.dll msddr.dat

    4. Cerifique se o campo "Examinar em" está definido como "Unidades de disco locais" ou "(C:)".
    5. Clique em "Mais opções avançadas."
    6. Marque a opção "Pesquisar pastas do sistema".
    7. Marque "Pesquisar subpastas".
    8. Clique em Pesquisar.
    9. Exclua os arquivos encontrados.

5. Para remover os valores do Registro:

CUIDADO: É altamente recomendável que você faça backup do Registro do sistema antes de efetuar quaisquer alterações. Alterações incorretas no Registro podem resultar na perda permanente de dados ou na corrupção de arquivos. Modifique somente as chaves que são especificadas. Consulte o documento Como fazer backup do Registro do Windows para obter instruções.
  1. Clique em Iniciar e em Executar. A caixa de diálogo Executar será exibida.
  2. Digite regedit

    e clique em OK. O Editor do Registro será aberto.
  3. Navegue até a chave a seguir:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  4. No painel direito, exclua o valor:

    "System MScvb"="%Windir%\mscvb32.exe"

  5. Se o sistema operacional for Windows NT/2000/XP, navegue até a chave:

    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  6. No painel direito, exclua o valor:

    "System MScvb"="%Windir%\mscvb32.exe"

  7. Saia do Editor do Registro.

Escrito por: Douglas Knowles