31 мая 2003 года обнаружена новая разновидность вируса W32/Sobig.b@MM. В антивирусном обновлении DAT 4268 (от 28 мая) эта разновидность была определена как W32/Sobig.dam.

Этот интернет-червь сходен с W32/Sobig.b@MM. Распространяется через электронную почту и сетевые ресурсы. Содержит свой собственный SMTP-механизм для рассылки сообщений абонентам из адресной книги на зараженной машине.

Распространение по почте

Червь отправляет себя пользователям из адресной книги зараженного компьютера, используя собственный SMTP-механизм.

Подобно W32/Sobig@MM, созданные червем исходящие сообщения пренебрегают кавычками в имени вложения. Это может привести к тому, что некоторые почтовые программы уберут один символ из исходящего имени файла и, таким образом, вложение будет содержать файл с расширением "*.PI" вместо "*.PIF".

Электронные адреса для последующей рассылки червя на зараженном компьютере извлекаются из файлов со следующими расширениями:

• WAB
• DBX
• HTM
• HTML
• EML
• TXT

Возможны следующие варианты заголовка писем, текста и имени вложения:

От: bill@microsoft.com (возможны другие адреса)

Тема: (одна из следующих)

• Approved
• Re: 45443-343556
• Re: Application
• Re: Approved
• Re: Movie
• Re: Screensaver
• Re: Submited (004756-3463)
• Re: Your application

Вложение: (одно из указанных)

Как упоминалось выше, расширение вложенного файла может усекаться до "*.PI" вместо "*.PIF"

• 45443.pif
• application.pif
• approved.pif
• document.pif
• documents.pif
• movie.pif
• screensaver.scr
• submited.pif

Текст сообщения:

Please see the attached file.

Распространение по сети

Червь перебирает все доступные сетевые устройства (другие компьютеры в локальной сети). Он пытается скопировать себя в следующие каталоги (если они доступны):

• \Documents and Settings\All Users\Start Menu\Programs\Startup\
• \Windows\All Users\Start Menu\Programs\Startup\

Установка

После запуска на зараженном компьютере червь добавляет в директорию %windir% следующие файлы:

• "mscvb32.exe" (приблизительно 50kB) (копия самого себя)
• "msddr.dat" (конфигурационный файл)

При инсталляции червь копирует себя с именем "mscvb32.exe" в каталог Windows диска и регистрирует этот файл в ключах авто-запуска системного реестра:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"System MScvb" = %WinDir%\mscvb32.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"System MScvb" = %WinDir%\mscvb32.exe

Симптомы

Наличие файла mscvb32.exe в директории WINDOWS (%WinDir%).

Метод заражения

Распространяется через электронную почту и открытые сетевые ресурсы.

Инструкции по удалению

Возможности обнаружения и удаления включены в DAT-файлы 4268.

Доступны следующие EXTRA.DAT пакеты:

EXTRA.DAT
SUPER EXTRA.DAT

Инструкции по удалению вручную

1. Перезагрузите систему в безопасном режиме (Safe Mode)

2. Удалите из системной директории WINDOWS (%windir%) следующие файлы:

• msddr.dat
• mscvb32.exe

3. Удалите посторонние исполняемые файлы (*.exe) из следующих каталогов:

• C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
• C:\Windows\All Users\Start Menu\Programs\Startup\

4. Отредактируйте реестр. Удалите значение System MScvb из:

• "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"
• "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run"

5. Перезагрузите систему.

Возможные названия