W32/SoBig@MM


SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es		Anterior

Un nuevo virus se está propagando masivamente esta semana: el W32/SOBIG

Payload: Además de la propagación y creación de gusanos, satura servidores de correo y de ficheros (en redes internas)

Nombre de virus: W32 / SOBIG @ MM
Alias conocidos:, Sobig, W32/Sobig.a, W32/BigBoss @ mm
Riesgo Infección: Alto (Bajo, Medio, Alto, Muy Alto)
Activación: Por ejecución del fichero anexado a e-mail infectado
Propagación: Por envío automático de e-mails infectados a listas de direcciones
Detección: desde DATS 4242
Motor necesario: desde 4.1.60
Infección actual: media (Inicial, Media, Elevada)

Se trata un gusano que ha empezado a infectar ordenadores en nuestro pais, pòr lo cual la probabilidad de infección es ya alta.
Se propaga mediante envio de e-mails a direcciones que captura de ficheros existentes con las siguientes extensiones, propias de libretas de direcciones, mails recibidos, documentos existentes, etc
.txt
.eml
.htm
.html
.dbx
.wab

El asunto de los e-mails es variado y aleatorio, de entre la siguiente lista

Re: Movies
Re: Sample
Re: Document
Re: Here is that sample

El fichero anexado mide 65536 bytes, y lleva por nombre uno de los 4 siguientes:

Movie_0074.mpeg.pif
Document003.pif
Untitled1.pif
Sample.pif

El texto del mensaje es siempre el siguiente:

Attached file

Además también se propaga vía intranet a las demás máquinas de la red , copiándose el gusano en las siguientes carpetas:

\%Windir%\All Users\Start Menu\Programs\Startup
\Documents and Settings\All Users\Start Menu\Programs\Startup

Cuando se ejecuta el gusano, se autocopia en el directorio de Windows con el nombre de WINMGM32.EXE, y crea la siguiente clave de registro para cargarse en el siguiente reinicio:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows MGM" = %Windir%\winmgm32.exe

Además crea en el mismo directorio, otros dos ficheros: SNTMLS.DAT y DWN.DAT

Para eliminar el virus W32/SOBIG:

Ejecutar nuestra utilidad ELISOBIG.EXE

Para descargar las utilidades correspondientes:: :

Pulsar aquí para bajar el ELISOBIG.EXE

Nota preventiva de última hora: Con DATS 4242, actualmente disponibles en nuestra web,también se controla un nuevo virus muy peligroso llamado W32/FATCAT, del que no hemos tenido aún incidencias entre nuestros usuarios, pero que nos consta que borra los ficheros USER.DAT y SYSTEM.DAT (y .DAO), con lo que se pierde el registro de sistema de Windows y no es operativo, debiéndose reinstalar todo el sofware, si no es posible recuperar dichos ficheros. Llega por e-mail anexando ficheros FC.EXE, FATCAT.EXE y RUNFC.EXE. Si les llegara algún e-mail con estos ficheros, NO LOS EJECUTEN, y contacten con nosotros.

SATINFO, VIRUSCAN SPAIN SERVICE 16 de Enero de 2003