Další letošní vir s označením Sobig nedá spát tvůrcům antivirových programů. Poté, co se zčista jasna objevil poprvé v polovině ledna, vrátil se v předminulém týdnu podruhé a tentokrát dokonce ve dvou mutacích. Tou první je Win32/Palyh, který byl následně antivirovými odborníky přejmenován na Sobig.B (vykazoval totiž totožné znaky jako původní Sobig), a tím druhým je současná jednička virové scény Sobig.C.
Červ se šíří pomocí e-mailových klientů a v Česku se ještě nestačil usadit. Ovšem co není dnes, může být zítra, o tomto faktu jsme se již několikrát mohli přesvědčit na vlastní kůži. Pokud vám tedy přijde elektronická pošta od odesílatele s adresou bill@microsoft.com, zpozorněte. S největší pravděpodobností vám nepíše Bill Gates, ale vir Sobig.C.
Sobig.C alias W32/Sobig.C@mm, Win32/Sobig.C@mm vyrazil na svou pouť již 31. května. Jeho šíření bylo zprvu velmi pomalé. Na intenzitě nabral až v pondělí kolem poledne a během včerejšího dne. Jako místo původu se udává Británie, kde se vyskytuje největší procento nakažených počítačů. Dle zdrojů serveru MessageLabs jde v současné době o nejrozšířenější vir. Jeho aktivita byla již odhalena ve více jak sto zemích.
Při svém šíření používá v předmětu zprávy jeden z následujících textů:
Re: Screensaver
Re: Movie
Re: Submited (004756-3463)
Re: 45443-343556
Re: Approved
Approved
Re: Your application
Re: Application
Jako tělo zprávy používá následující text:
Please see the attached file
V příloze samotného emailu je přiložen soubor s označením:
screensaver.scr
movie.pif
submited.pif
45443.pif
documents.pif
approved.pif
application.pif
document.pif
Dojde-li k aktivaci červa, v systémovém adresáři Windows se objeví tento soubor „mscvb32.exe“ (50 kB) a do systémových registrů přibude následující klíč:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
System MScvb = %WindowsDir%\mscvb32.exe
Ten se postará o start infikovaného soubor při každém naběhnutí operačního systému Windows.
Vir se rozesílá na všechny adresy uložené v souborech s příponami: .wab, .dbx, .htm, .html, .eml a .txt. Samozřejmě se šíří i po lokální síti. Na vzdálených počítačích se ukládá do těchto adresářů:
Windows\All Users\Start Menu\Programs\Startup\
Documents and Settings\All Users\Start Menu\Programs\Startup
Jde o startovací položky operačních systému Windows. Červ odsud následně infikuje celý počítač při dalším start systému.
Zadní vrátka
Na začátku svého šíření využíval zadních vrátek pro stahování dalších svých komponent z několika URL adres nadefinovaných v jeho kódu. Ty jsou v současné době již zablokovány.
Pokud jste červa spustili, můžete počítač vyčistit pomocí jednorázové utilitky, kterou naleznete na této adrese (56 kB).
