WinTricks Forum - W32.Sobig.F - Rischio 5

WinTricks Forum (http://forum.wintricks.it/index.php)

- Sicurezza&Privacy (http://forum.wintricks.it/forumdisplay.php?f=32)

- - W32.Sobig.F - Rischio 5 - Update (http://forum.wintricks.it/showthread.php?t=56053)

W32.Sobig.F - Rischio 5 - Update

13:15 VIRUS: SOPHOS SEGNALA W32/SOBIG-F

(ASCA) - Roma, 19 ago - Un virus identity file (Ide) che
fornisce protezione e' disponibile sul sito di Sophos e sara'
incluso nella versione di ottobre 2003 (3.74) di Sophos
Anti-Virus. Sophos ha ricevuto diverse segnalazioni su
W32/Sobig-F, un worm costituito da un file a 32 bit. Questo
worm e' anche noto come I-Worm.Sobig.f.
Maggiori informazioni su W32/Sobig-F sono disponibili
all'indirizzo
http://www.sophos.com/virusinfo/anal...32sobigf.html. E'
possibile scaricare il file Ide da
www.sophos.com/downloads/ide/sobigf.ide. Per informazioni su
come usare i file Ide:
www.sophos.com/support/faqs/usingides.html.
http://www.alerta-antivirus.es/virus....html?cod=2905

Aliases:
W32/Sobig.f@MM (McAfee), W32.Sobig.F@mm (Symantec), W32/Sobig.F (Panda Software), W32/Sobig-F (Sophos), WORM_SOBIG.F (Trend Micro), Win32/Sobig.F (Enciclopedia Virus (Ontinent)), Win32.Sobig.F (Computer Associates), W32/Sobig.F@mm (Norman), W32/Sobig.F@MM (Hacksoft), I-Worm.Sobig.f (Kaspersky (viruslist.com)), Win32.Sobig.F@mm (Bit Defender), W32/Sobig.F@mm (PerAntivirus), WORM_SOBIG.F.DAM (Trend Micro), I-Worm.Sobig.f.txt (Kaspersky (viruslist.com)), I-Worm.Sobig.txt (Kaspersky (viruslist.com)), I-Worm.Sobig.f.txt_ (Kaspersky (viruslist.com)), I-Worm.Sobig.f.dam (Kaspersky (viruslist.com))

Effetti:
This detection is for a new variant of W32/Sobig. In common with previous variants, the worm is written in MSVC, and bears the following characteristics:

propagates via email, constructing outgoing messages with its own SMTP engine
propagates over network shares
Note: The worm carries garbage data appended to end of file, so exact filesize and file checksum may vary.

Installation

The worm copies itself onto the victim machine as:

C:\WINNT\WINPPR32.EXE
A configuration file is also dropped to %Windir%:

C:\WINNT\WINSTT32.DAT
The following Registry keys are added to hook system startup:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
"TrayX" = C:\WINNT\WINPPR32.EXE /sinc

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run
"TrayX" = C:\WINNT\WINPPR32.EXE /sinc
Mail Propagation

The worm mails itself to email addresses harvested from the victim machine, using its own SMTP engine to construct outgoing messages.

Strings within the worm suggest outgoing messages are constructed as follows:

Subject:

Re: Thank you!
Re: Details
Re: Re: My details
Re: Approved
Re: Your application
Re: Wicked screensaver
Re: That movie
Attachment:

your_document.pif
document_all.pif
thank_you.pif
your_details.pif
details.pif
document_9446.pif
application.pif
wicked_scr.scr
movie0045.pif
Body:

See the attached file for details
Please see the attached file for details
The "From:" address may be spoofed with an address extracted from the victim machine. Therefore the perceived sender is most likely not a pointer to the infected user.

Exact details concerning outgoing messages will be posted once analysis is complete.

Contacting Remote NTP Servers

The worm contains a list of IP addresses for remote NTP servers, to which it sends NTP packets (destination port 123).

Info:
http://www.hacksoft.com.pe/virus/w32_sobig_f.htm
http://www.symantec.com/avcenter/ven...obig.f@mm.html
http://www.norman.com/virus_info/w32_sobig_f_mm.shtml
http://vil.mcafee.com/dispVirus.asp?virus_k=100561
http://www.pandasoftware.es/virus_in...&idvirus=40408
http://www.sophos.com/virusinfo/analyses/w32sobigf.html
http://www.enciclopediavirus.com/vir...rus.php?id=515

Sistemi Operativi infettati:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP

NOOOO, ma allora sta "saga" Sobig non avrà mai fine :crying: :crying:

Aggiornamento AntiVirus a Oggi 19.08.03 e attenzione al traffico dati nella porta "123" ;)(Y)

PandaSoftware sta rilevando una pericolosa impennata dalle 16:00 di oggi simile alle prime ore del Virus "Blaster.A"...
http://www.pandasoftware.com/virus_info/

Aggiornatevi in fretta (Update Antivirus) ;)(Y)

Tool per rimuovere il Virus:

http://www.nod32.it/img/eye.jpg

Lo trovate da scaricare nel Sito italiano di NOD32
http://www.nod32.it/home/home.htm

;)(Y)

http://vil.nai.com/vil/images/logo_main.gif

E' stata rilasciata la nuova Release Stinger v1.8.4

Download:
Mirror: http://download.nai.com/products/mca...rt/stinger.exe

Rileva:
This version of Stinger includes detection for all known variants, as of August 19, 2003:
BackDoor-AQJ Bat/Mumu.worm Exploit-DcomRpc
IPCScan IRC/Flood.ap IRC/Flood.bi
IRC/Flood.cd NTServiceLoader PWS-Sincom
W32/Bugbear@MM W32/Deborm.worm.gen W32/Dumaru@MM
W32/Elkern.cav W32/Fizzer.gen@MM W32/FunLove
W32/Klez W32/Lirva W32/Lovgate
W32/Lovsan.worm W32/Mimail@MM W32/MoFei.worm
W32/Mumu.b.worm W32/Nachi.worm W32/Nimda
W32/Sdbot.worm.gen W32/SirCam@MM W32/Sobig
W32/SQLSlammer.worm W32/Yaha@MM

;)(Y)

McAfee assegna a Sobig.F un livello di pericolosità ELEVATO

Da pochi minuti McAfee.com ha innalzato il livello di pericolosità per Sobig.F portandolo a high risk. Più alto persino di Blaster/Lovsan!

azz... la cosa si fa seria :eek:

E' sempre a Rischio "4" . Non c'è per ora il Rischio "5" (epidemia) come il Blaster. ;)

18:43 VIRUS: SOPHOS, TOOL PER ELIMINARE SOBIG-F

(ASCA) - Roma, 19 ago - I ricercatori di Sophos hanno
sviluppato un tool che rileva ed elimina il worm W32/Sobig-F.
Sophos ha gia' rilasciato un file Ide che fornisce protezione
contro W32/Sobig-F. Questa nuova utilita' permette ad aziende
e utenti domestici di assicurarsi in maniera semplice che le
proprie reti siano pulite ed eventualmente eliminare i file
infetti individuati. E' possibile scaricare il tool
all'indirizzo www.sophos.com/misc/sobigsfx.exe. Per maggiori
informazioni su Sobig-F:
www.sophos.com/virusinfo/articles/sobigf.html e
http://www.sophos.com/virusinfo/anal...32sobigf.html.

Questo Virus sarà attivo fino al 09.09.03; il 10.09.03 si autodisattiverà... :rolleyes:

proprio ora me ne sono arrivate una decina, che c'è l'hanno con me perchè ho messo la news :D

io non l'ho ancora preso: strano :D

Io ne sto ricevendo almeno una al giorno, grazie anche ai filtri AntiSpamming e AntiTojan che ho installato da tempo. ;)
Altrimenti... :rolleyes:

PandaSoftware sta rilevando un incremento della diffusione del Virus "Sobig" dalla scorsa notte...
http://www.pandasoftware.com/virus_i...ter/detail.htm

Oggi pomeriggio, PandaSoftware (visti gli incrementi d'infezione in rete) a dato conferma che il livello Rischio è salito a "5" (epidemia). :(