Inscriptions | Discussions | Enquêtes | Plan du Site




Toutes les Menaces

Virus

Hackers

Spams
Whole site    Viruses
  
Encyclopédie Virus
Alertes
Analyses
News
Glossaire


Environnement du Malware
Descriptions du Malware
Qui se cache derrière le Malware
Historique du Malware
Tendances du Malware
Si votre ordinateur est infecté

 
Recherche Description Malware

 

  Home / Virus / Encyclopédie Virus / Descriptions du Malware / Vers de réseau / Vers de Messagerie

Email-Worm.Win32.Sobig.f

Aliases
Email-Worm.Win32.Sobig.f (Kaspersky Lab) is also known as: I-Worm.Sobig.f (Kaspersky Lab), W32/Sobig.f@MM (NAI),   W32.Sobig.F@mm (NAV),   Win32.HLLM.Reteras (DrWeb),   W32/Sobig-F (Sophos),   Win32/Sobig.F@mm (RAV),   Win32.Sobig.F@mm (BitDef7),   NewHeur_PE (Nod32)
Description added 16 Aug 2005
Comportement Email-Worm, ver de messagerie
Détails Techniques
Sobig.f est un ver se diffusant via Internet sous forme de fichier attaché à des emails infectés. Le ver Sobig.f se propage aussi au travers des réseaux de partage.

Le ver est un fichier Windows PE EXE écrit en Microsoft Visual C++ et compressé par TeLock utility. La taille du fichier compressé (TeLock) est d'environ de 70 Ko, le fichier décompressé est de 100 Ko environ.

Sobig.f est activé lorsqu'un utilisateur double clique sur le fichier attaché. Une fois le ver exécuté, il s'installe dans le système et commence à se propager.

Installation

Lors de son installation, le ver se copie dans le répertoire Windows sous le nom de winppr32.exe et s'enregistre dans les clés autorun du registre système : 

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
 TrayX = %WindowsDir%\winppr32.exe/sinc

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
 TrayX = %WindowsDir%\winppr32.exe/sinc


Diffusion par email

Pour obtenir des adresses emails, le ver recherche des fichiers .TXT, .EML, .HTML, .HTM, .DBX, WAB, MHT et HLP dans tous les répertoires sur tous les lecteurs locaux accessibles, scanne à la recherche d'adresses email auxquelles il envoie des emails infectés. Il utilise pour ce faire le moteur SMTP indiqué dans les propriétés systèmes.

Voici des différentes versions des messages de Sobig.f:

Le champ De contient de fausses adresses email (trouvées sur la machine infectée) ou admin@internet.com.

Objet:

Re: That movie
Re: Wicked screensaver
Re: Your application
Re: Approved
Re: Re: My details
Re: Details
Your details
Thank you!
Re: Thank you!
Corps du Message:
See the attached file for details
Please see the attached file for details.
Nom du fichier attaché:
movie0045.pif
wicked_scr.scr
application.pif
document_9446.pif
details.pif
your_details.pif
thank_you.pif
document_all.pif
your_document.pif
Le ver crée aussi le fichier winstt32.dat dans le répertoire Windows et reporte les adresses emails trouvées sur la machine infectée sur ce fichier.


Diffusion via réseau

Le ver scanne toutes les ressources réseaux accessibles (d'autres ordinateurs dans un réseau) et se copie dans les répertoires auto-start (s'il y a de tels sous-répertoires) de chaque ressource trouvée (ordinateur).


Mise à jour

Le ver envoie des paquets UDP à des adresses IP aléatoires sur le port 8998 et attend les ordres de la machine “maître”. Les commandes contiennent des URL depuis lesquelles SoBig.f télécharge et exécute des fichiers. Ainsi, le ver est capable de se mettre à jour et/ou d'installer d'autres applications (des Trojans par exemple).

Chargement de fichiers supplémentaires
Le ver entame une procédure qui vérifie l'heure toutes les 60 minutes selon l'heure de Greenwich. Pour ce faire, il envoie des requêtes via serveurs NTP (Network Time Protocol). SoBig.F possède une liste de 19 serveurs NTP: 

 200.68.60.246
 62.119.40.98
 150.254.183.15
 132.181.12.13
 193.79.237.14
 131.188.3.222
 131.188.3.220
 193.5.216.14
 193.67.79.202
 133.100.11.8
 193.204.114.232
 138.96.64.10
 chronos.cru.fr
 212.242.86.186
 128.233.3.101
 142.3.100.2
 200.19.119.69
 137.92.140.80
 129.132.2.21

Lorsqu'un serveur NTP ne répond pas, le ver appelle la fonction système pour obtenir l'heure actuelle - 'gmtime'. Les vendredis et les dimanches, entre 19.00 et 23.00 heure GMT, le ver commence à télécharger des fichiers supplémentaires. Pour télécharger ces fichiers, il envoie des paquets UDP (User Datagram Protocol) via les adresses IP sur le port 8998. SoBig.f maintient une liste d'adresses IP dans un fichier codé. A l'heure actuelle, ces sites sont fermés et par conséquent ne répondent pas aux requêtes.

Listes d'adresses IP codées: 

 67.73.21.6
 68.38.159.161
 67.9.241.67
 66.131.207.81
 65.177.240.194
 65.93.81.59
 65.95.193.138
 65.92.186.145
 63.250.82.87
 65.92.80.218
 61.38.187.59
 24.210.182.156
 24.202.91.43
 24.206.75.137
 24.197.143.132
 12.158.102.205
 24.33.66.38
 218.147.164.29
 12.232.104.221
 68.50.208.96

Le ver SoBig.f reçoit des réponses à ses requêtes sous forme de paquet UDP via le port 8998. Ce paquet contient un fichier URL (Uniform Resource Locator) codé. Le ver SoBig.f télécharge ce fichier et l'exécute.

Autre

Le ver est opérationnel seulement si la date sur l'ordinateur infecté est antérieure au 10 septembre 2003.

 

Copyright © 1996 - 2009
Kaspersky Lab
Industry-leading Antivirus Software
All rights reserved
 

Email: webmaster@viruslist.com