Ed ecco una nuova variante di questo mass-mailing worm. La Symantec l'ha portato da un'iniziale allerta 2 (ieri) ad un livello 3, come gli altri si diffonde via mail andando a cercare i contatti della rubrica di un Pc infetto.
E come sempre accade, col cambiare della variante, cambiano mittente, oggetto ed allegati. questa volta il mittente è
bill@microsoft.com
l'oggetto è casuale fra questi
Re: Movie
Re: Submited (004756-3463)
Re: 45443-343556
Re: Approved
Approved
Re: Your application
Re: Application
e l'allegato può essere uno di questi
screensaver.scr
movie.pif
submited.pif
45443.pif
documents.pif
approved.pif
application.pif
document.pif
Il worm cessa la sua funzione di infezioni dal giorno 08 Luglio 2003 compreso.
Se l'allegato viene eseguito Sobig.C copia in C:\Windows (9x WinME) C:\Winnt (NT 2000 XP) i seguenti files
mscvb32.exe (è la copia del worm)
msddr.dll
msddr.dat
e System MScvb = %windir%\mscvb32.exe in
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
se la macchina ha un S.O. NT/2000/XP copia anche il valore
System MScvb = %Windir%\mscvb32.exe[b] in
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Cerca le risorse di rete crecando di copiarsi in
Windows\All Users\Start Menu\Programs\StartUp
Documents and Settings\All Users\Start Menu\Programs\Startup
Anche questa variante, come lo è stato per la variante .B, cerca di collegarsi a quattro siti diversi su Geocities per scaricare del software.
La sua rimozione manuale deve essere fatta in modalità provvisoria, terminando dalla propria task (Ctrl+Alt+Canc per 9x Me e Ctrl+Maiusc.+Esc per Nt 2000 XP) il valore
Mscvb32.exe
andando poi a cercare, cancellandole, con la funzione "trova" i files msddr.dll msddr.dat
e per ultimo andando ad eliminare i valori aggiunti nelle chiavi del registro sopra decritte da
Start>Esegui --->regedit--->OK
Marco(amvinfe)
Registrazione