Condividi:        

W32.Sobig.C@mm

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

W32.Sobig.C@mm

Postdi amvinfe » 01/06/03 18:50

Ed ecco una nuova variante di questo mass-mailing worm. La Symantec l'ha portato da un'iniziale allerta 2 (ieri) ad un livello 3, come gli altri si diffonde via mail andando a cercare i contatti della rubrica di un Pc infetto.
E come sempre accade, col cambiare della variante, cambiano mittente, oggetto ed allegati. questa volta il mittente è
bill@microsoft.com
l'oggetto è casuale fra questi
Re: Movie
Re: Submited (004756-3463)
Re: 45443-343556
Re: Approved
Approved
Re: Your application
Re: Application
e l'allegato può essere uno di questi
screensaver.scr
movie.pif
submited.pif
45443.pif
documents.pif
approved.pif
application.pif
document.pif
Il worm cessa la sua funzione di infezioni dal giorno 08 Luglio 2003 compreso.
Se l'allegato viene eseguito Sobig.C copia in C:\Windows (9x WinME) C:\Winnt (NT 2000 XP) i seguenti files
mscvb32.exe (è la copia del worm)
msddr.dll
msddr.dat
e System MScvb = %windir%\mscvb32.exe in
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
se la macchina ha un S.O. NT/2000/XP copia anche il valore
System MScvb = %Windir%\mscvb32.exe[b] in
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Cerca le risorse di rete crecando di copiarsi in
Windows\All Users\Start Menu\Programs\StartUp
Documents and Settings\All Users\Start Menu\Programs\Startup

Anche questa variante, come lo è stato per la variante .B, cerca di collegarsi a quattro siti diversi su Geocities per scaricare del software.
La sua rimozione manuale deve essere fatta in modalità provvisoria, terminando dalla propria task (Ctrl+Alt+Canc per 9x Me e Ctrl+Maiusc.+Esc per Nt 2000 XP) il valore
Mscvb32.exe
andando poi a cercare, cancellandole, con la funzione "trova" i files msddr.dll msddr.dat
e per ultimo andando ad eliminare i valori aggiunti nelle chiavi del registro sopra decritte da
Start>Esegui --->regedit--->OK

Marco(amvinfe)
Pensi d'avere un file infetto?
Invialo a
SuspectFile
amvinfe
Utente Senior
 
Post: 193
Iscritto il: 06/09/02 16:22
Località: Dietro il tuo monitor a farti cucù

Sponsor
 

Postdi amvinfe » 01/06/03 19:08

Nella descrizione ho erroneamente scritto che la funzione d'infezione cessa il giorno 08 Luglio 2003, mentre la data corretta è 08 Giugno 2003

sorry.

Marco(amvinfe)
Pensi d'avere un file infetto?
Invialo a
SuspectFile
amvinfe
Utente Senior
 
Post: 193
Iscritto il: 06/09/02 16:22
Località: Dietro il tuo monitor a farti cucù

Dettagli dell'ultima ora

Postdi amvinfe » 01/06/03 19:37

W32.Sobig.C@mm è scritto in Microsoft Visual C e compresso in UPX, ma con una sua versione modificata, questo per rendere ancor più difficile la identificazione.

Marco(amvinfe)
Pensi d'avere un file infetto?
Invialo a
SuspectFile
amvinfe
Utente Senior
 
Post: 193
Iscritto il: 06/09/02 16:22
Località: Dietro il tuo monitor a farti cucù

Ancora informazioni

Postdi amvinfe » 01/06/03 20:16

Oltre al mittente bill@microsoft.com la mail ne può avere altri

cheeky_monkey_[xxx]@hotmail.com
suga_babe[xxx]@hotmail.com
soccer_chick_[xxx]@hotmail.com


dove le xxx vengono sostituite da numeri casulai, ad es.

cheeky_monkey_07@hotmail.com
suga_babe669@hotmail.com
soccer_chick_019@hotmail.com


Marco(amvinfe)
Pensi d'avere un file infetto?
Invialo a
SuspectFile
amvinfe
Utente Senior
 
Post: 193
Iscritto il: 06/09/02 16:22
Località: Dietro il tuo monitor a farti cucù

Postdi amvinfe » 02/06/03 09:39

La mail ha questo testo

Please see the attached file.

e si è aggiunto un altro mittente

a.miller@lmco.com


Marco(amvinfe)
Pensi d'avere un file infetto?
Invialo a
SuspectFile
amvinfe
Utente Senior
 
Post: 193
Iscritto il: 06/09/02 16:22
Località: Dietro il tuo monitor a farti cucù


Torna a Sicurezza e Privacy


Topic correlati a "W32.Sobig.C@mm":

W32.Sobig.F@mm
Autore: kadosh
Forum: Sicurezza e Privacy
Risposte: 5
Sobig Virus
Autore: Triumph Of Steel
Forum: Discussioni
Risposte: 12
W32.Sobig.E@mm
Autore: amvinfe
Forum: Sicurezza e Privacy
Risposte: 6

Chi c’è in linea

Visitano il forum: Nessuno e 10 ospiti