Win32/Sobig.F

Jde o rychle se Üφ°φcφ virus elektronickou poÜtou. Pro efektivn∞jÜφ a rychlejÜφ hromadnΘ rozesφlßnφ e-mail∙ vyu₧φvß n∞kolika programov²ch "vlßken" - thread∙, tedy soub∞₧nΘho odesφlßnφ e-mail∙.

O "pozitivnφch v²sledcφch" tΘto metody m∙₧e p°esv∞dΦit nßsledujφcφ kolßΦ (pom∞r jednotliv²ch vir∙, Üφ°φcφch se ke dni 20.8.2003) ze strßnek www.rav.ro:

Tady je pak n∞co o Üφ°enφ viru Win32/Sobig.F v prvnφch hodinßch po objevenφ.

V p°edm∞tu infikovanΘho e-mailu se nachßzφ n∞kter² z t∞chto text∙:

Re: Thank you!
Thank you!
Your details
Re: Details
Re: Re: My details
Re: Approved
Re: Your application
Re: Wicked screensaver
Re: That movie

V samotnΘm t∞le e-mailu pak jeden z t∞chto dvou text∙:

See the attached file for details
Please see the attached file for details.

V p°φloze se nachßzφ jeden z uveden²ch infikovan²ch soubor∙:

your_document.pif, document_all.pif, thank_you.pif, your_details.pif, details.pif, document_9446.pif, application.pif, wicked_scr.scr, movie0045.pif

Pokud dojde ke spuÜt∞nφ p°φlohy, virus Win32/Sobig.F se usadφ v adresß°i Windows v souboru winppr32.exe, kter² pak volß p°i ka₧dΘm startu Windows prost°ednictvφm polo₧ky v klφΦi registr∙: HKEY_LOCAL_MACHINE / Software / Microsoft / Windows / CurrentVersion / Run.

Virus Win32/Sobig.F otevφrß porty 995/udp, 996/udp, 997/udp, 998/udp, 999/udp a ka₧d² pßtek a ned∞li Φekß na pokyny (port 8998/udp) z dvaceti nßsledujφcφch server∙, ovlßdan²ch autorem viru:

12.158.102.205, 12.232.104.221, 24.33.66.38, 24.197.143.132, 24.202.91.43, 24.206.75.137, 24.210.182.156, 61.38.187.59, 63.250.82.87, 65.92.80.218, 65.92.186.145, 65.95.193.138, 65.93.81.59, 65.177.240.194, 66.131.207.81, 67.9.241.67, 67.73.21.6, 68.38.159.161, 68.50.208.96, 218.147.164.29

Servery p°edajφ viru konkrΘtnφ adresu, odkud si mß stßhnout do ji₧ infikovanΘho poΦφtaΦe dalÜφ Ükodliv² k≤d (kter² m∙₧e provΘst defakto cokoliv, od smazßnφ celΘho disku a₧ po jeho kompletnφ vykradenφ).
V dob∞ psanφ tohoto popisu nejsou tyto servery k dispozici (pop°φpad∞ je blokovßn port 8998/udp). Co nßs mohlo potkat.

Podobn∞ jako vÜechny p°edchozφ varianty viru Sobig se i tento virus p°estane poΦφnaje urΦit²m dnem Üφ°it. V tomto p°φpad∞ jde o 10.zß°φ 2003.


Jedno·Φelov² antivirus:

Win32/Sobig.F
  • Popis/pou₧itφ: Z Windows.

    		•

    N∞kolik dobr²ch rad:

    P°ed pou₧itφm jedno·Φelov²ch antivir∙ je vhodnΘ vypnout stßvajφcφ antivirov² systΘm a to p°edevÜφm on-access skener (Φasto oznaΦovßn jako rezidentnφ Ütφt).

    Pokud jde o hojn∞ pou₧φvan² antivirus AVG 6.0, pak se onen rezidentnφ Ütφt vypφnß zaÜkrtßvacφ volbou v jednΘ ze zßlo₧ek AVG Control Center (ikonka na liÜt∞ vpravo dole). ╚ty°barevnß ikonka by m∞la zeÜednout.

    Ve Windows XP a ME je taktΘ₧ vhodnΘ vypnout funkci OBNOVA SYST╔MU (RESTORE SYSTEM), kterß by pozd∞ji brßnila smazßnφ infikovan²ch soubor∙, kterΘ "uvφzly" v adresß°φch _RESTORE (Windows ME) nebo SYSTEM INFORMATION VOLUME (Windows XP).

    Postup pro Windows ME:

  • Klikn∞te prav²m tlaΦφtkem myÜi na ikonu TENTO PO╚═TA╚ (MY COMPUTER) a zvolte z nabφdky VLASTNOSTI (PROPERTIES).
  • P°epn∞te se do zßlo₧ky V▌KON (PERFORMANCE) a stiskn∞te tlaΦφtko SOUBOROV▌ SYST╔M (FILE SYSTEM).
  • Zde se p°esu≥te na zßlo₧ku P╪I POT═Ä═CH (TROUBLESHOOTING) a zaÜkrtn∞te poslednφ volbu - ZAK┴ZAT OBNOVU SYST╔MU (DISABLE SYSTEM RESTORE).
  • VÜe potvr∩te tlaΦφtkem OK, Windows se restartuje.

    Postup pro Windows XP:

  • Klikn∞te prav²m tlaΦφtkem myÜi na ikonu TENTO PO╚═TA╚ (MY COMPUTER).
  • Zvolte VLASTNOSTI (PROPERTIES) a nalistujte zßlo₧ku OBNOVEN═ SYST╔MU (SYSTEM RESTORE).
  • Zatrhn∞te volbu VYPNOUT N┴STROJ OBNOVEN═ SYST╔MU NA VèECH JEDNOTK┴CH.
  • Potvr∩te, Windows provede restart.