En las últimas horas se ha detectado una gran incidencia de esta nueva versión del gusano Sobig.

El gusano se propaga de forma tradicional, enviándose como adjunto en un e-mail, y a través de los recursos compartidos de las redes locales.

En su llegada por e-mail lo podemos identificar de forma fácil al utilizar algunos de los siguientes campos fijos en la construcción del mensaje.

Asunto:

Re: That movie

Re: Wicked screensaver

Re: Your application

Re: Approved

Re: Re: My details

Re: Details

Your details

Thank you!

Re: Thank you!

Nombre del archivo adjunto:

movie0045.pif

wicked_scr.scr

application.pif

document_9446.pif

details.pif

your_details.pif

thank_you.pif

document_all.pif

your_document.pif

Cuerpo del mensaje:

See the attached file for details

Please see the attached file for details.

Cuando se ejecuta en un sistema, crea los archivos winppr32.exe y winsst32.dat en la carpeta de Windows, e introduce dos entradas en el registro para asegurarse su ejecución cada vez que se inicie el sistema:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

TrayX = %WindowsDir%\winppr32.exe/sinc

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

TrayX = %WindowsDir%\winppr32.exe/sinc

Además intenta copiarse en todos los recursos compartidos que encuentra a su alcance para intentar propagarse entre otros equipos de la red local.

Para propagarse a través del correo electrónico utiliza su propio motor SMTP y recolecta las direcciones de e-mail a las que enviarse de los archivos con extensión DBX, HLP, MHT, WAB, EML, TXT, HTM y HTML que encuentra en el sistema infectado.

Sobig.F incorpora un mecanismo que le permite descargar y ejecutar archivos en los equipos infectados, lo que facilita al autor la instalación de troyanos para conseguir acceder a los sistemas, utilizar los equipos infectados como servidores de correo, o actualizar el propio gusano.

Su código contiene una lista de servidores maestros a los que el gusano se conecta a través del puerto UDP/8998 para recoger la URL donde iniciar la descarga del archivo a instalar. Estas conexiones con el servidor maestro las realiza los sábados y domingos entre las 7 y 10 P.M., según el horario UTC (Universal Time Coordinated).

Para conocer la hora UTC, de manera independiente a la hora local del sistema infectado, se sincroniza conectando con algunos servidores con servicio NTP a través del puerto UDP/123.

Por último hay que destacar que el gusano viene con fecha de caducidad, ya que se autodesactiva el 10 de septiembre de 2003.

La prevención, como en casos similares, viene dada por no abrir o ejecutar archivos no solicitados, y actualizar puntualmente las soluciones antivirus. En el caso de infección, el gusano puede ser eliminado borrando las entradas del registro y archivos que se mencionan en la descripción, o utilizando algunas de las herramientas gratuitas que las principales casas antivirus han puesto a disposición de los usuarios de forma gratuita.