Характеристика вируса
Начиная с DAT 4266 (выпущен 21/05/2003) вирус W32/Palyh@MM переименован в W32/Sobig.b@MM из-за полной идентичности с новым вариантом интернет-червя W32/Sobig@MM.
Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам, и по сетевым ресурсам.
Червь является приложением Windows (PE EXE-файл), написан на Microsoft Visual C++, упакован утилитой UPX, размер вируса может варьироваться в зависимости от различных условий около 50К (UPX) и больше, размер распакованного файла - около 110К и больше.
Распространение по почте
Червь отправляет себя пользователям из адресной книги зараженного компьютера, используя собственный SMTP-механизм.
Во всех каталогах на доступных локальных дисках червь ищет файлы со следующими расширениями:
Он выделяет из них строки, являющиеся адресами электронной почты, и рассылает по этим адресами зараженные письма. При отсылке писем червь использует прямое подключение к SMTP-серверу (указанному в настройках системы).
Возможны следующие варианты заголовка писем, текста и имени вложения:
От: support@microsoft.com
Тема:
- Re: My application
- Re: Movie
- Cool screensaver
- Screensavers
- Re: My details
- Your password
- Re: Approved (Ref: 3394-65467)
- Approved (Ref: 38446-263)
- Your details
Вложение:
- approved.pif
- ref-394755.pif
- password.pif
- ref-394755.pif
- application.pif
- screen_doc.pif
- screen_temp.pif
- movie28.pif
- download1053122425102485703.uue
- doc_details.pif
- _approved.pif
Замечание: расширение файла может быть урезано до .PI вместо .PIF
Текст сообщения:
All information is in the attached file.
Распространение по сети
Червь перебирает все доступные сетевые ресурсы (другие компьютеры в сети) и копирует себя в них в каталоги автозапуска, при наличии таковых:
- \Documents and Settings\All Users\Start Menu\Programs\Startup\
- \Windows\All Users\Start Menu\Programs\Startup\
Загрузка дополнительных файлов
Червь скачивает файлы с четырех сетевых Web-адресов (они "прописаны" в коде червя) и запускает их на выполнение. Таким образом, червь в состоянии скачивать и запускать свои более "свежие" версии или устанавливать в систему дополнительные программы (троянские программы).
Инсталляция
При инсталляции червь копирует себя с именем "msccn32.exe" в каталог Windows диска и регистрирует этот файл в ключах авто-запуска системного реестра:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
System Tray = %WindowsDir%\msccn32.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
System Tray = %WindowsDir%\msccn32.exe
В некоторых случаях (по причине ошибки) червь копирует себя в "неправильные" каталоги (корневой каталог, текущий каталог), однако процедуры распространения червя всё равно остаются активны до очередной перезагрузки компьютера.
Метод заражения
Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам, и по сетевым ресурсам.
Червь содержит подпрограмму, которая извлекает и проверяет системную дату и время. Если дата совпадает c 31 мая 2003 года или превышает ее, червь прекращает свое распространение, однако продолжает устанавливать себя на зараженных машинах.
Инструкции по удалению
Возможности обнаружения и удаления включены в DAT-файлы 4266
Модификации, произведенные в системном реестре и/или INI-файлах с целью перехвата процесса загрузки системы, успешно удаляются с использованием указанного DA- файла.
Возможные названия
I-Worm.Sobig.b (AVP)
W32.HLLW.Mankx@mm (NAV)
W32.Sobig.B@mm (NAV)
W32/Palyh (Panda)
W32/Palyh-A (Sophos)
W32/Palyh@MM
W32/Sobig.b@MM
W32/Sobig.B@mm (F-Prot)
Win32.HLLM.Reteras.2 (Dialogue Sci)
Win32.Palyh.A (CA)
WORM_PALYH.A (Trend)
