Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos
Sobig se conecta a la ágina www.geocities.com, que contiene un archivo de texto. Dicho archivo contiene la página web pagers.icq.com desde donde Sobig descarga el troyano Bck/Delf.cy al ordenador afectado.
Metodo de Infección
Sobig crea los siguientes archivos:
- WINMGM32.EXE, en el directorio de Windows, que es una copia del gusano.
- SNTMLS.DAT, en el directorio de Windows, que es un archivo temporal que el gusano crea.
- DWN.DAT, en el directorio de Windows, que es un archivo que Sobig utiliza para descargar el troyano.
- MPTASK.EXE, en el directorio de sistema de Windows, que es el troyano que se descarga.
Sobig crea las siguientes entradas en el Registro de Windows:
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
WindowsMGM = %windir%\ Winmgm32.exe
donde %windir% es el directorio de Windows.HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
WindowsMGM = %windir%\ Winmgm32.exe
Mediante estas entradas, Sobig se asegura de que se ejecutará cada vez que se inicie Windows.
Método de Propagación
Sobig utiliza principalmente el correo electrónico para propagarse. Para ello lleva a cabo el siguiente proceso:
Además del correo, Sobig se propaga a través de unidades de red compartidas, afectando exclusivamente a aquellos ordenadores con el sistema operativo Windows en inglés. Para ello, Sobig intenta copiarse en los siguientes directorios:
Otros Detalles
Sobig, está escrito en lenguaje de programación Visual C++, versión 6.0. Este gusano tiene un tamaño de 65536 Bytes y está comprimido con tElock v0.98.