Condividi:        

W32.Sobig.E@mm

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

W32.Sobig.E@mm

Postdi amvinfe » 25/06/03 23:54

W32.Sobig.E@mm


Un’ennesima variante, questa volta più virulenta di quella che l’ha preceduta, del worm che ormai tutti conoscono.
Anche la variante .E si propaga via mail, ma può anche infettare macchine residenti nelle LAN è scritto in C++ e compresso in UPX.
Come scritto è un mass mailing worm, per autoinviarsi usa un proprio motore SMTP andando a cercare gli indirizzi cui inviarsi , nei files aventi queste estensioni:
· WAB
· DBX
· HTM
· HTML
· EML
· TXT
La mail può avere questo mittente

support@yahoo.com

uno di questi “Oggetto”

referer.pif
004448554.pif
re.document.pif
new_document.pif
submited.pif
Screensaver.scr
movie.pif
Applications.pif
Application.pif
Your application
Re: Re: Document
Re: Re: Application ref. 003644
Re: Documents
Re: Screensaver
Re: Submited (Ref: 003746)
Re: Movies
Re: Movie
Re: Application

il corpo del messaggio è

Please see the attached file for details.

Il nome dell’allegato può essere uno di questi, gli allegati della mail saranno tutti con estensione .zip, ma all’interno di ogni file compresso vi è il worm. L’allegato pesa ~ 86,528 Bytes

Movie.zip (Movie.pif)
screensaver.zip (sky_world.scr)
document.zip (document.pif)
application.zip (application.pif)
Your_details.zip(details.pif)

W32.Sobig.E@mm infetta tutti i S.O. Windows e quando viene eseguito, copia i files MSRRF.DAT e WinSSK32.EXE in C:\Windows o C:\WINNT a seconda del S.O. in uso; per potersi eseguire ad ogni riavvio della macchina aggiunge il valore SSK Service = "%Windows%\WinSSK32.EXE" in
HKEY_CURRENT_USER\Software\Microsoft\Win
dows\
CurrentVersion\Run
e SFtrb Service = "%Windows%\WinSSK32.exe in
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi
ndows\
CurrentVersion\Run

Crea un evento che si chiama “Nuiro.X”, questo per assicurarsi d’avere solo una copia residente in memoria.
Rimozione manuale:
Start>Esegui>regedit
raggiungere la chiave
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
ed eliminare il processo
SFtrb Service = "%Windows%\WinSSK32.exe
portarsi in
HKEY_CURRENT_USER>Software>Microsoft>
Windows>CurrentVersion>Run
ed eliminare
SSK Service = "%Windows%\WinSSK32.EXE"
chiudere il registro.
Fare una ricerca nel disco del file MSRRF.DAT e cancellarlo
N.B.
Nei S.O. WinMe e WinXP ricordarsi di disabilitare il System Restore.


Marco(amvinfe)
Pensi d'avere un file infetto?
Invialo a
SuspectFile
amvinfe
Utente Senior
 
Post: 193
Iscritto il: 06/09/02 16:22
Località: Dietro il tuo monitor a farti cucù

Sponsor
 

Postdi amvinfe » 26/06/03 08:33

Immagine


Questo è un esempio di come può essere una mail con allegato il worm W32.Sobig.E@mm



Marco(amvinfe)
Pensi d'avere un file infetto?
Invialo a
SuspectFile
amvinfe
Utente Senior
 
Post: 193
Iscritto il: 06/09/02 16:22
Località: Dietro il tuo monitor a farti cucù

Postdi pjfry » 26/06/03 09:55

ma se il virus è compresso nel .zip quando si avvia? solo se lo scompatti volontariamente? :-?
Avatar utente
pjfry
Moderatore
 
Post: 8240
Iscritto il: 19/11/02 17:52
Località: terni

Postdi amvinfe » 26/06/03 11:03

Il worm si esegue nel momento in cui apri lo .zip


Marco(amvinfe)[/list]
Pensi d'avere un file infetto?
Invialo a
SuspectFile
amvinfe
Utente Senior
 
Post: 193
Iscritto il: 06/09/02 16:22
Località: Dietro il tuo monitor a farti cucù

Postdi dado » 26/06/03 11:44

Intelligente il virus... di solito un allegato zip è considerato abbastanza sicuro. Certo, ad ogni modo a prima vista si capisce che è un virus... :D

House: "Vede, tutti pensano che sia un paziente a causa del bastone"
Wilson: "Allora perchè non indossa un camice bianco come tutti noi?"
House: "Perchè altrimenti pensano che sia un medico".
Avatar utente
dado
Utente Senior
 
Post: 16208
Iscritto il: 21/08/01 01:00
Località: La Città dei Sette Assedi

Postdi Nicola » 26/06/03 13:26

mi sa che l`ho visto qualche giorno fa od oggi... mah ormai io non ci faccio caso alle emails con mittenti strani ;) cancello tutto... senza AV :D
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi luna11 » 06/07/03 00:48

Infatti ne abbiamo accusato ricevuta nel forum sbagliato
[url=http://www.pc-facile.com/forum/viewtopic.php?t=9665]se volete darci un'occhiata...
[/url]
luna11
Utente Senior
 
Post: 3634
Iscritto il: 10/08/01 01:00


Torna a Sicurezza e Privacy


Topic correlati a "W32.Sobig.E@mm":

W32.Sobig.F@mm
Autore: kadosh
Forum: Sicurezza e Privacy
Risposte: 5
Sobig Virus
Autore: Triumph Of Steel
Forum: Discussioni
Risposte: 12
W32.Sobig.C@mm
Autore: amvinfe
Forum: Sicurezza e Privacy
Risposte: 4

Chi c’è in linea

Visitano il forum: Nessuno e 26 ospiti