Estás en: Panda Security > Usuarios Domésticos > Security Info > about-malware > encyclopedia > detalle

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

Sobig.F
PeligrosidadDañoPropagación

De un vistazo Detalles técnicos Solución

Efectos

Sobig.F realiza las siguientes acciones:

Envía paquetes UDP al puerto 8998 de direcciones IP determinadas.
Abre los puertos 995 a 999, ambos inclusive, y permanece a la espera de recibir órdenes, al modo de un troyano de tipo backdoor.
Ejecuta un bucle cada 10 segundos, mediante el cual se envía por correo electrónico a una serie de direcciones que recopila en el ordenador afectado.
Ejecuta un bucle cada 30 minutos, mediante el cual trata de realizar copias suyas en unidades de red compartidas a las que consiga acceso.
Ejecuta un bucle cada hora, mediante el cual se conecta a una serie de direcciones web con el fin de realizar actualizaciones de sí mismo.

Metodo de Infección

Sobig.F crea los siguientes ficheros:

WINPPR32.EXE, en el directorio de Windows. Es una copia del gusano.
WINSTT32.DAT, en el directorio de Windows. Es usado para guardar un registro de las direcciones de correo encontradas por el gusano.
WINSTF32.DLL. Se crea durante el proceso de propagación a unidades compartidas.

Sobig.F crea las siguientes entradas en el Registro de Windows:

HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
TrayX = %windir \ winppr32.exe /sinc
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
TrayX = %windir \ winppr32.exe /sinc
De esta forma, consigue ejecutarse cada vez que se inicia Windows.

Sobig.F realiza el siguiente proceso:

Cada vez que se ejecuta el gusano o al realizar un bucle que se ejecuta cada hora, Sobig.F se conecta con determinados servidores NTP (Network Time Protocol) a través del puerto UDP 123. Si quiere consultar la lista de servidores NTP, pulse aquí.
Dichos servidores NTP devuelven un valor en formato de tiempo universal (UTC). Si dicho valor es igual o superior a las 19:00 horas del día 22 de agosto de 2003, el gusano realizará la descarga de un fichero.
Para ello, envía un paquete UDP al puerto 8998 de un ordenador remoto, identificado mediante su dirección IP. Sobig.F contiene dentro de su código una lista encriptada de 20 direcciones IP, pertenecientes a equipos situados en EE.UU., Canadá y Corea del Sur. Pulse aquí para consultar el listado de direcciones IP.
Sobig.F espera que dicho ordenador le responda con la dirección de una página web, de la que el gusano descargará el troyano tipo backdoor que posteriormente instalará.

Método de Propagación

Sobig.F se propaga a través del correo electrónico y de unidades de red compartidas. Cuando la fecha del sistema sea 10 de septiembre de 2003 o posterior, el gusano deja de propagarse.

1.- Propagación a través del correo electrónico.

Sobig.F se propaga en un mensaje escrito en inglés de características variables. Para ello, realiza el siguiente proceso:

Busca direcciones de correo en todos los ficheros que encuentre con una de las siguientes extensiones:

- TXT, ficheros de texto.
- EML, mensajes de Outlook.
- Extensiones que comiencen por HTM, páginas web.
- DBX, mensajes de correo seguros.
- WAB, Libreta de direcciones de Windows.
- MHT, Multipart HTML. Es un formato que permite guardar páginas Web en un único fichero.
- HLP, ficheros de ayuda de Windows.

Crea un bucle cada 10 segundos, para mandar sucesivamente un mensaje de correo electrónico a cada una de las direcciones que ha encontrado. Para ello, Sobig.F emplea su propio motor SMTP. Este mensaje tiene las siguientes características:

Remitente:
Sobig.F busca dentro del ordenador una dirección válida de correo electrónico; en caso de encontrarla, la inserta en el campo Remitente. Esto puede dar lugar a confusiones. Si quiere saber más al respecto, pulse aquí.
Si el gusano no encontrase ninguna dirección válida, utilizará la siguiente: admin@internet.com.

Asunto:
Puede ser uno de los siguientes:
Re: Thank you
Thank you!
Your details
Re: Details
Re: Re: My details
Re: Approved
Re: Your application
Re: Wicked screensaver
Re: That movie

Contenido:
Puede ser uno de los siguientes:
See the attached file for details
Please see the attached file for details.

Fichero adjunto:
Puede ser uno de los siguientes:
YOUR_DOCUMENT.PIF
DOCUMENT_ALL.PIF
THANK_YOU.PIF
YOUR_DETAILS.PIF
DETAILS.PIF
DOCUMENT_9446.PIF
APPLICATION.PIF
WICKED_SCR.SCR
MOVIE0045.PIF

Una vez que el fichero adjunto es ejecutado, el ordenador queda infectado.

2.- Propagación a través de unidades de red compartidas.

Sobig.F crea un bucle que ejecuta cada 30 minutos, y que trata de conectarse a unidades de red compartidas, con el fin de realizar en las mismas una copia del gusano.

Otros Detalles

Para que conozca un poco mejor a Sobig.F, a continuación le presentamos alguna de sus caracteristicas:

Ha sido programado en el lenguaje de programación Visual C++, en su versión 6.0.
El fichero que transporta el gusano tiene un tamaño variable de entre 70 y 74 Kbytes cuando se encuentra comprimido mediante Telock. El fichero descomprimido tiene un tamaño de 112 KBytes.

Panda Security. Nueva gama 2012. Renueva ahora.

Productos antivirus

Soporte técnico

Accesos rápidos

Servicio de Asistencia de Instalación

Nuestros expertos resuelven de forma remota: la instalación, activación, y configuración del antivirus.
[+] info

Servicio de Asistencia de Desinfección

Nuestros especialistas en desinfección eliminan por completo cualquier malware de tu equipo.
[+] info