W32.Sobig.F@mm

[On-line]

Aprenda tudo, incluse a fazer e a praga que no mês passado entrou na história da net " SOBIG.F". Este post não foi colocado aqui para ser usado de forma erronia e sim para que possamos ver o quanto podemos estar ou ser vulneraveis. Bons estudos !!!

"Baseado no número de submissões recebidas de clientes, o Symantec Security Response elevou esta ameaça da Categoria 3 para a Categoria 4 em 21 de agosto de 2003.

O W32.Sobig.F@mm é um worm de distribuição em massa e um identificador de rede que envia cópias de si mesmo a todos os endereços de e-mail que ele encontrar em arquivos das seguintes extensões:


.dbx
.eml
.hlp
.htm
.html
.mht
.wab
.txt


O worm utiliza seu prórpio mecanismo SMTP para propagar-se e tentará criar uma cópia de si mesmo nos compartilhamentos de rede acessíveis, mas não consegue devido a alguns erros em seu código.


Detalhes da rotina de e-mail
A mensagem de e-mail tem as seguintes características:

De: Endereços de e-mail obtidos pelo worm (o que significa que o remetente do campo "De:" muitas vezes não é o real remetente da mensagem). O worm pode usar o endereço admin@internet.com como remetente.

NOTAS:
Os endereços obtidos para uso no campo Enviar Para são extraídos de arquivos encontrados no computador. Também, o worm pode usar as configurações do computador infectado para encontrar um servidor SMTP ao qual conectar-se.
A escolha do domínio internet.com parece ser arbitrária e não tem nenhuma relação com o domínio verdadeiro nem com a empresa que o detém.

Assunto:
Re: Details
Re: Approved
Re: Re: My details
Re: Thank you!
Re: That movie
Re: Wicked screensaver
Re: Your application
Thank you!
Your details

Corpo da Mensagem:
See the attached file for details
Please see the attached file for details.

Anexo:
application.zip (contains application.pif)
details.zip (contains details.pif)
document_9446.zip (contains document_9446.pif)
document_all.zip (contains document_all.pif)
movie0045.zip (contains movie0045.pif)
thank_you.zip (contains thank_you.pif)
your_details.zip (contains your_details.pif)
your_document.zip (contains your_document.pif)
wicked_scr.zip (contains wicked_scr.scr)


NOTAS:

O worm é desativado em 10 de setembro de 2003. A última data em que ele irá se propagar será 9 de setembro de 2003.
A desativação informada acima refere-se apenas à propagação em massa através de e-mail, e à data de desativação do endereço de e-mail. Isto quer dizer que um computador infectado pelo W32.Sobig.F@mm continuará tentando fazer o download de atualizações do worm a partir de sua lista de servidores principais durante o período de ativação associado a infecção, mesmo que este período seja posterior a data de desativação. Variantes anteriores do Sobig exibem comportamento similar.
No dia 22 de agosto foi observado tráfego UDP de saída a partir de sistemas infectados com ambas as variantes, Sobig.E e Sobig.F. Entretanto, os endereços IP de destino estavam ou não respondendo ou possuíam ou não conteúdo executáveis, como, por exemplo, um link para site material adulto.
O W32.Sobig.F@mm usa a técnica conhecida como "email spoofing", através da qual ele seleciona aleatoriamente um endereço de e-mail encontrado no computador infectado. Para mais informações a respeito, consulte a seção Detalhes Técnicos abaixo.

O Symantec Security Response criou uma ferramenta para remover o W32.Sobig.F@mm. Esta é a forma mais fácil de se remover esta ameaça.

Também conhecido como:  Sobig.F [F-Secure], W32/Sobig.f@MM [McAfee], WORM SOBIG.F [Trend], W32/Sobig-F [Sophos], Win32.Sobig.F [CA], I-Worm.Sobig.f [KAV]
 
Tipo:  Worm
Tamanho da infecção:  about 72,000 bytes
 
 
 
Sistemas afetados:  Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
Sistemas não afetados:  Linux, Macintosh, OS/2, UNIX, Windows 3.x
 
 
 



Definições de vírus (Intelligent Updater) *
19/08/2003


Definições de vírus (LiveUpdate™) **
19/08/2003


*
As definições de vírus do Intelligent Updater são liberadas diariamente, mas exigem download e instalação manuais.
Clique aqui para efetuar o download.

**
As definições de vírus do LiveUpdate em geral são liberadas todas as quartas-feiras.
Clique aqui para obter instruções sobre a utilização do LiveUpdate.







Propagação:

Número de infecções: Mais que 1000
Número de locais: Mais que 10
Distribuição geográfica: Alto
Contenção da ameaça: Fácil
Remoção: Moderado
Estatísticas da ameaça

       
Propagação:
Alto
Dano:
Médio
Distribuição:
Alto



Dano

Atividade:
Envio de e-mail em grande escala: Envia mensagens de e-mail para endereços obtidos a partir de arquivos das seguintes extensões: .wab, .dbx, .htm, .html, .eml, .txt.
Liberação de informações confidenciais: Pode obter secretamente informações do sistema, incluindo senhas.
Distribuição

Assunto do e-mail: Variável
Nome do anexo: Variável, com as extensões .pif ou .scr.
Tamanho do anexo: Aproximadamente 72.000 bytes
Portas: UDP 123, 995, 996, 997, 998, 999, 8998


Quando o W32.SoBig.F@mm é ativado, ele executa as seguintes ações:


Cria uma cópia de si mesmo como %Windir%\winppr32.exe.

NOTA: %Windir% é uma variável. O worm localiza a pasta de instalação do Windows (por padrão C:\Windows ou C:\Winnt) e cria uma cópia de si mesmo para esse local.


Cria o arquivo %Windir%\winsst32.dat.


Adiciona o valor:

"TrayX"="%Windir%\winppr32.e xe /sinc"

a chave de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run

para que o worm seja executado sempre que o Windows for iniciado.


Adiciona o valor:

"TrayX"="%Windir%\winppr32.e xe /sinc"

a chave de registro:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\W indows\CurrentVersion\Run

para que o worm seja executado sempre que o Windows for iniciado.


Enumera quaisquer compartilhamentos de rede aos quais os computadores infectados possuem permissão de escrita. O worm utiliza APIs padrão do Windows APIs par afazer isso.

NOTA: Devido a erros no código, o worm não faz cópias para os compartilhamentos de rede.



O Sobig.F pode fazer o download de arquivos aleatórios para um computador infectado e executá-los. O autor do worm utiliza esta funcionalidade para obter informações confidenciais do sistema e para tornar o computador infectado em um servidor terciário de envio spam.

Esta funcionalidade também pode ser usada como um recurso de auto-atualização do worm. Em condições adequadas, o Sobig.F tenta contatar um de uma lista de servidores principais, os quais são controlados pelo autor do worm. Então, o worm carrega uma URL que é usada para determinar onde obter o arquivo do Cavalo de tróia, fazer o download desse arquivo no computador local e executá-lo.

No Sobig.F, as condições para esta tentativa de download são as seguintes:
De acordo com a hora do UTC, o dia da semana deve ser Sexta ou Domingo.
De acordo com a hora do UTC, a hora do dia deve estar entre 19:00 e 23:59:59.


A lista abaixo relaciona os endereços IP dos servidores principais:
12.232.104.221
12.158.102.205
24.33.66.38
24.197.143.132
24.206.75.137
24.202.91.43
24.210.182.156
61.38.187.59
63.250.82.87
65.92.80.218
65.92.186.145
65.95.193.138
65.93.81.59
65.177.240.194
66.131.207.81
67.9.241.67
67.73.21.6
68.38.159.161
68.50.208.96
218.147.164.29



O Sobig.F obtém a hora do UTC através do protocolo NTP, ao contatar um dos vários servidores possíveis na porta 123/udp (a porta do NTP).

O worm inicia a tentativa de download fazendo um teste na porta 8998/udp do servidor principal. Então o servidor responde com uma URL, a partir da qual o worm pode ser fazer o download do arquivo e executá-lo.

Diferentemente do W32.Sobig.E@mm, o Sobig.F não abrirá as portas listadas abaixo para monitorar datagramas UDP de entrada como reportado anteriormente:
995/udp
996/udp
997/udp
998/udp
999/udp


Administradores de rede devem fazer o seguinte:
Bloquear o tráfego de entrada nas portas 99x/udp.
Bloquear o tráfego de saída nas portas 8998/udp.
Monitorar as requisições NTP (port 123/udp), já que estas podem ser provenientes de computadores infectados. (a frequência de tais verificações para um computador infectado é uma vez por hora).

Email spoofing
O W32.Sobig.F@mm utiliza uma técnica conhecida como "spoofing." Quando ele executa sua rotina de envio de mensagens de e-mail, ele pode usar um endereço de e-mail aleatório que ele encontrar no computador infectado como remetente. Muitos casos têm sido reportados nos quais usuários de computadores não-infectados recebem avisos de que eles enviaram uma mensagem infectada para alguma outra pessoa.

Por exemplo, Laura Andrade está usando um computador infectado pelo W32.Sobig.F@mm. Laura não está usando um programa antivírus ou não possui as definições de vírus mais recentes. Quando o W32.Sobig.F@mm executa sua rotina de envio de mensagens de e-mail, ele encontra o endereço de e-mail de Haroldo Leal. O worm então insere o endereço de Haroldo no campo "De:" da mensagem infectada e a envia para Janete Ramos. Janete entra em contato com Haroldo para reclamar ter recebido dele uma mensagem infectada, mas Haroldo efetua uma verificação de vírus em seu computador e nada é encontrado - como esperado - porque não é o computador de Haroldo que possui vírus.

Symantec Host IDS
Em 12 de agosto de 2003 a Symantec disponibilizou uma atualização para o Symantec Host IDS 4.1.

Intruder Alert
Em 12 de agosto de 2003 a Symantec disponibilizou uma Intruder Alert 3.6 W32_SobigF_Worm Policy.

Symantec Client Security
Em 22 de agosto de 2003 a Symantec disponibilizou assinaturas IDS via LiveUpdate para detectar a atividade do W32.Sobig.F@mm.

Symantec ManHunt
O Security Update 8 foi disponibilizado para fornecer assinaturas específicas para o W32.Sobig.F.Worm.







O Symantec Security Response recomenda que todos os usuários e administradores observem as seguintes "melhores práticas" de segurança básica:

Desative e exclua os serviços de que não precisa. Por padrão, muitos sistemas operacionais instalam serviços auxiliares que nem todos utilizam, como clientes FTP, telnet e servidores Web. Só que esses serviços são verdadeiras vias de ataque. Se removidos, além de menos vias de ataque, você terá menos serviços e, assim, menos atualizações de correções com que se preocupar.
Se uma ameaça diversificada atingir serviços de rede, desative-os ou bloqueie acesso a eles até poder aplicar uma correção.
Mantenha seus níveis de correção sempre atualizados, especialmente no caso de computadores que abrigam serviços públicos e são acessíveis através do firewall, como os de HTTP, FTP, correio e DNS.
Adote uma senha. As senhas compostas dificultam a quebra dos arquivos de senha dos computadores afetados. Isso contribui para evitar ou limitar os danos quando um computador é afetado.
Configure seu servidor para bloquear ou remover e-mail que tenha arquivos anexados com extensões comumente usadas para disseminar vírus, como .vbs, .bat, .exe, .pif e .scr.
Isole rapidamente os computadores infectados, a fim de evitar um ainda maior comprometimento de sua empresa. Faça uma análise posterior e restaure o computador usando meios confiáveis.
Treine os funcionários a não abrir os anexos não esperados. Além disso, não execute software descarregado da Internet antes de submetê-lo a uma verificação de vírus. A simples visita a um site comprometido pode promover infecções se certas vulnerabilidades do browser não tiverem sido corrigidas.


Remoção usando a Ferramenta de Remoção do W32..Sobig.F@mm

O Symantec Security Response criou uma ferramenta para remover o W32.Sobig.F@mm. Esta é a forma mais fácil de se remover esta ameaça.

Remoção Manual

Como alternativa ao uso da ferramenta, você pode remover esta ameaça manualmente.

Se você estiver em uma rede, ou tiver conexão permaneente com a Internet, tal como DSL ou cabo, certifique-se de que o computador está desconectado da rede e da Internet. Desative ou proteja com senha os compartilhamentos de arquivos, ou defina-os como somente-leitura, antes de reconectar os computadores na rede ou na Internet.

Estas instruções se aplicam a todos os produtos antivírus atuais e aos mais recentes da Symantec, inclusive as linhas de produto Symantec Antivírus e Norton AntiVirus.

NOTA: Se você estiver em uma rede ou tiver uma conexão permanente com a Internet, desconecte o computador da rede e da Internet. Remova esta ameaça de todos os computadores da rede antes de conectá-lo a rede ou a Internet novamente. Desative ou proteja com senha o compartilhamento de arquivos, antes de conectar os computadores novamente à rede ou à Internet. Para obter instruções sobre como fazer isso, consulte a sua documentação do Windows ou o documento Como configurar as pastas compartilhadas do Windows para máxima proteção em rede.

IMPORTANTE: Não ignore esta etapa. Você deve desconectar-se da rede antes de tentar remover esse worm.

Desabilite a Restauração do sistema (Windows Me/XP).
Atualize as definições de vírus.
Siga um dos procedimentos abaixo:

Windows 98, 98SE/Me: Reinicie o computador no Modo de segurança.
Windows NT/2000/XP: Finalize o processo do Cavalo de tróia.

Execute uma verificação de sistema completa para reparar ou excluir todos os arquivos detectados como W32.Sobig.F@mm.
Remova o valor que foi adicionado ao Registro.

Para maiores detalhes sobre como fazer isto, leia as seguintes instruções.

1. Para desabilitar a Restauração do sistema (Windows Me/XP)
Usuários do Windows Me e do Windows XP devem desligar, temporariamente, a Restauração do Sistema. Esta característica, habilitada por padrão, é usada pelo Windows ME/XP para restaurar os arquivos no seu computador, caso tenham sido danificados. Quando um computador é infectado por um vírus, worm ou Cavalo de Tróia é possível que esses arquivos sejam restaurados pela Restauração do Sistema.

Por padrão, o Windows previne que a Restauração do Sistema seja alterada por programas externos, inclusive programas antivírus. Assim, é possível que você, acidentalmente, restaure um arquivo infectado ou que verificadores on-line detectem uma ameaça naquele lugar. Para instruções sobre como desligar a Restauração do Sistema, leia a documentação do Windows ou um dos seguintes artigos:

Como desativar ou ativar o recurso de restauração do sistema no Windows Me
Como desativar ou ativar o recurso de restauração do sistema no Windows XP

Para informações adicionais e como alternativa a desabilitar a Restauração do Sistema, veja na Microsoft Knowledge Base o artigo Anti-Virus Tools Cannot Clean Infected Files in the _Restore Folder, ID do Artigo: Q263455. (Este recurso encontra-se em inglês.)


2. Para atualizar as definições de vírus

O Symantec Security Response efetua completos testes em todas as definições de vírus para garantir sua qualidade antes das mesmas serem postadas em nossos servidores. Existem duas formas de se obter as mais recentes definições de vírus:

Executando o LiveUpdate: esta é a maneira mais fácil de se obter as definições de vírus. Estas definições são postadas nos servidores do LiveUpdate semanalmente (normalmente às Quartas-feiras), a não ser que haja uma significativa explosão de vírus. Para determinar se definições para esta ameaça estão disponíveis através do LiveUpdate, consulte o item "Definições de Vírus (LiveUpdate)", na seção "Proteção", no topo deste alerta.
Fazer o donwload das definições de vírus usando o Intelligent Updater. As definições de vírus do Intelligent Updater são postados nos Estados Unidos nos dias úteis (Segunda a Sexta-feira). Você deve fazer o download das definições a partir do website do Symantec Security Response e instalá-las manualmente. Para determinar se as definições para esta ameaça estão disponíveis através do Intelligent Updater, consulte o item Definições de Vírus (Intelligent Updater), na seção "Proteção" no topo deste alerta.

Para instruções detalhadas sobre como fazer o download e instalar as definições de vírus do Intelligent Updater a partir do site do website do Symantec Security Response clique aqui.

3. Para reiniciar o computador em Modo de segurança ou finalizar o processo do Cavalo de Tróia
Windows 95/98/Me
Reinicie o computador no Modo de segurança. Todos os sistemas operacionais Windows de 32 bits, com exceção do Windows NT, podem ser reiniciados no Modo de segurança. Para instruções sobre como fazer isso, consulte o documento Como iniciar o Windows 95/98/Me no Modo de Segurança.

Windows NT/2000/XP
Para finalizar o processo do Cavalo de tróia:
Pressione as teclas Ctrl+Alt+Delete uma vez.
Clique em Gerenciador de Tarefas.
Clique na guia Processos.
Clique duas vezes sobre a coluna Nome da Imagem para ordenar os processos por ordem alfabética.
Role a lista e procure pelo serviço Winppr32.exe.
Se você encontrar o arquivo, clique uma vez sobre ele para selecioná-lo e clique no botão Finalizar Processo.
Saia do Gerenciador de Tarefas.


4. Para executar uma verificação completa no sistema
Inicie seu programa de antivírus da Symantec, e configure-o para verificar todos os arquivos.
Para a linha de produtos domésticos/pequena empresa Norton AntiVirus: Consulte o documento "Como configurar o Norton Antivirus para verificar todos os arquivos"
Para a linha de produtos corporativos Symantec AntiVirus: Consulte o documento "Como verificar se um produto antivírus Symantec Corporate está configurado para verificar todos os arquivos".
Execute uma verificação completa do sistema.
Se houver arquivos detectados como infectados com W32.Sobig.F@mm, clique em Excluir.


5. Para remover o valor do registro

CUIDADO: É altamente recomendável que você faça backup do Registro do sistema antes de efetuar quaisquer alterações. Alterações incorretas no Registro podem resultar na perda permanente de dados ou na corrupção de arquivos. Modifique somente as chaves que são especificadas. Consulte o documento Como fazer backup do Registro do Windows para obter instruções.

a. Clique em Iniciar e em Executar (A caixa de diálogo Executar será exibida).
b. Digite regedit

e clique em OK. (O Editor do Registro será aberto)


c. Navegue até a seguinte chave:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run


d. No painel direito, exclua o seguinte valor:

"TrayX"="%Windir%\winppr32.e xe /sinc"

e. Saia do Editor do Registro.






Informações adicionais:

Devido a natureza da técnica de email spoofing, grande parte do tráfego externo é gerado pelo envio de notificações de vírus remetidas para endereços de e-mail inválidos. Uma solução para reduzir as consequências deste processo é desativar essas mensagens de notificação enviadas pelo gateway e por produtos baseados no servidor e e-mail.



Histórico de revisões:

25 de agosto de 2003:

Corrigida informação sobre as portas 99x.
22 de agosto de 2003:
Atualizada informação sobre a data de desativação.
Adicionada referência a atualização SGS.
21 de agosto de 2003:
Elevado da Categoria 3 para a Categoria 4 baseado no aumento do número de submissões.
Corrigido o dia da ativação do W32.Sobig.F@mm de Sábado para Domingo.
Adicionada informação sobre email spoofing.
20 de agosto de 2003: Atualizada informação de codinome."

[Carlos_tec]

Muito bom!!!!

Tudo isso...

Citar[/b] ]
http://securityresponse1.symantec.com/sarc....mm.html
[CTRL + a] (menos imagens, heheh)
[CTRL + c]
[CTRL + v]

...concerteza j´a estou apto a fazer uma nova variante do sobig, heheh...
...variante i de inutil!

De forma alguma considere este topico como instrutivo, apenas informativo, que toooooooodo mundo ja sabe, pois  se discutimos sobre virus neste forum, temos que saber disso!

E por favor, naum venha com o papo:

Citar[/b] ]Este post não foi colocado aqui para ser usado de forma erronia e sim para que possamos ver o quanto podemos estar ou ser vulneraveis. Bons estudos !!!

Como c vc tivess revelando o codigo fonte do sobig.x
Isto ´e BRASIL!!!!!

Atenciosamente,

Carlos_TEC

[On-line]

Ai Carlos ... bele ?

Kra, quando coloquei este post aqui naum foi pensando que alguem ia usar estas infomarções para fazer a nova variante, mesmo por que naum seria muito esperto da minha parte. E sairia totalmente das regras do forum se eh que naum conhece.
Mas sim, para que os viromaniacos de plantão se saciassem com alguma informação sobre o popstar de agosto "SOBIG". E outra naum acho que este tipo de informação seja inutil, se vc naum estuda ou naum vai atras de algo para ficar atualizado o problema eh seu tem muita gente que gosta estudar e melhorar cada dia mais seu desempenho. O que importa é a informação.

Valeu .... Sem magoas !!!