[ virus.neobee.net ]

VIRUS INFO
Naziv virusa:	I-Worm.Sobig
Alias:	W32/Sobig@MM, W32/ Sobig.A@mm
Tip:	worm
Način širenja:	e-mailom i preko umreženih računara
Veličina:	65 536 bajtova
Destruktivan:	ne
Datum aktiviranja:	otvaranjem pristigle pošte
Otkriven:	10.01.2003.

OBJAŠNJENJE
Stiže kao e-mail od big@boss.com sa sledećim karakteristikama:

Subject:
Re: Movies ili
Re: Sample ili
Re: Document ili
Re: Here is that sample

Attachment:
Movie_0074.mpeg.pif ili
Document003.pif ili
Untitled1.pif ili
Sample.pif

Kada se startuje crv, biće kreiran sledeći fajl C:\ WINDOWS \ WINMGM32.EXE.

Da bi se startovao svaki put kada se startuje i Windows, crv će ubaciti sledeći ključ u Registry bazu:

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
"WindowsMGM" = C:\ WINDOWS \ WINMGM32.EXE

HKEY_CURENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
"WindowsMGM" = C:\ WINDOWS \ WINMGM32.EXE

Ovaj crv, dok je korisnik na Internetu, skine trojanca Backdoor.Lala uz pomoć koga autor crva može da pristupa korisnikovom računaru. Ovog trojanca možete pronaći u C:\ WINDOWS \ DWN.DAT.

Pre nego što pošalje ijedan e-mail, crv će poslati poruku na pagers.icq.com.

Da bi se poslao na što više e-mail adresa, crv će pretražiti korisnikove sve fajlove sa sledećim ekstenzijama TXT, EML, HTML, HTM, DBX i WAB. Sve e-mail adrese koje pronađe arhiviraće u fajlu C:\ WINDOWS \ SNTMLS.DAT.

Crv ima mogućnost da se širi i u mreži. Svi korisnici koji su sa zaraženim računarom u mreži biće zaraženi jer će se crv ubaciti u StartUp direktorijume svih umreženih računara:

WINDOWS \ ALL USERS \ START MENU \ PROGRAMS \ STARTUP
i
DOCUMENTS AND SETTINGS \ ALL USERS \ START MENU \ PROGRAMS \ STARTUP

Crv je napisan u Microsoft Visual Basic C ++ programskom jeziku i zapakovan je sa TeLock.

Crv u sebi ima tekst koji korisnik ne vidi:

B.ROOT-SERVERS.NET A.ROOT-SERVERS.NET
a+ \ %s
big@boss.com
[A-Za-z0-9]+[A-Za-z0-9_.-]+@(([A-Za-z0-9\-])+[.])+[A-Za-z]+
*.* x:\ From <%s> "%s" To Subject Date %s %s %c%4.4d H:mm:ss ddd, d MMM yyyy Importance
Microsoft Outlook Express 6.00.2600.0000 X-Mailer Normal X-MSMail-Priority 3 (Normal)
X-Priority ; filename=" attachment inline Content-Disposition:
Content-Transfer-Encoding: %s ; name="%s" Content-Type: %s Content Type
application/octet-stream --%s --%s-- Content-ID: <%s> Content-Transfer-Encoding: ;
charset="%s" text/ Content-Type: -- --%s Content-Type: multipart/alternative;
boundary="%s" CSmtpMsgPart123X456_001_%8.8X %s This is a multipart
message in MIME format %s: %s Message-ID 1.0 MIME-Version " ;
boundary=" mixed alternative related multipart/
CSmtpMsgPart123X456_000_%8.8X Content-
Type = =%2.2X -;.,?! Encoding took %dms ... 7bit 8bit
quoted-printable base64 SMTP tcp text/plain iso-8859-1 QUIT
EHLO %s %s Password: Username: AUTH LOGIN MAIL FROM: <%s> RCPT TO: <%s>.
DATA http://www.geocities.com/reteras/reteral.txt 0 Hello Attached
file: Movie_0074.mpeg.pif Document003.pif Untitled1.pif Sample.pif Re:
Movies Re: Sample Re: Document Re: Here is that sample 2003.1.23
Ret code: %d sntmls.dat dwn.dat r Windows\All Users\Start
Menu\Programs\StartUp\ Documents and Settings\All Users\Start
Menu\Programs\Startup\ $\ @pager.icq.com mail@mail.com Notify
pager.icq.com start WindowsMGM
SOFTWARE\Microsoft\Windows\CurrentVersion\Run wab dbx htm html eml txt
Worm.X winmgm32.exe Worm.X

REŠENJE
Preuzmite cleaner. ( )

Na ovim stranicama ćete uvek biti obavešteni o novim virusima koji se pojavljuju kao i načinom uklanjanja istih sa vašeg računara. Pored virusa, na ovom sajtu možete naći najefektnije načine zaštite od virusa kao i zaštita od upada u vaš računar.

Virus Informacioni Centar je otvoren za sva vaša pitanja, preloge, kao i sugestije u vezi ovog sajta.

Virus Informacioni Centar
Neobee.net ISP
Email : virus@neobee.net
ICQ : 48089085

VIrus Informacioni centar
Broj poseta31231 poseta od 23.03.2001.