/ Forside / Interesser / Andre interesser / Religion / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Religion
#NavnPoint
mblm 1770
summer 1170
ans 1142
JanneP 1010
e.p. 880
Rellom 850
Teil 728
refi 645
o.v.n. 630
10  molokyle 587
virus advarsel
Fra : OZ5VIB Børge Bøjlun~


Dato : 19-08-03 15:54

Navn: W32.Sobig-F.worm
Alias: W32/Sobig.F@mm, Win32.HLLM.Reteras
Dato: 19. August 2003
Oprindelse: ca. 70 kb
Størrelse: 10,240 bytes
Risiko: HØJ

W32.Sobig-F.worm er en ny variant i Sobig familien. Ormen spreder sig i
Danmark
med hidtil uset hastighed.

Ormen er skrevet i Visual C++ og pakket med TELock. Koden har en størrelse
på ca.
72.100 bytes, men kan variere. Den vil ca. ligge omkring 70 kb. Ormen er
pakket
med TELock, at besværliggøre analyse af koden samt undgå detektion af
antivirus
software.

W32.Sobig-F.worm, er en typisk massemailer der ankommer via e-mail, som en
vedhæftet
pif-fil med et varieret indhold. Indholdet kan være en eller flere
kombinationer
af følgende indhold:

Til: [Her indsættes en tilfældig adresse som høstes fra det inficerede
system]
Fra: [Her indsættes en tilfældig adresse som høstes fra det inficerede
system]

Emne (en af følgende):

Re: Approved
Re: Your application
Re: Wicked screensaver
Re: That movie
Re: Details
Re: Re: My details

Indhold (en af følgende sætninger):

See the attached file for details
Please see the attached file for details.

Vedhæftet:

application.pif
wicked_scr.scr
movie0045.pif
thank_you.pif
your_details.pif
details.pif
document_all.pif
document_9446.pif
your_document.pif

Hvis den vedhæftede pif-fil åbnes vil ormen droppe en kopi af sig selv til
windows mappen
under navnet winppr32.exe. W32.Sobig-F.worm vil modificere
registreringsdatabasen
med det formål, at ormen reaktiveres ved genstart af systemet.

Det sker via følgende værdier:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"TrayX"
= %windows mappen%\winppr32.exe /sinc
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"TrayX"
= %windows mappen%\winppr32.exe /sinc

Ormen vil gennemsøge det lokale system for e-mail adresser, som den vil
anvende til at sende
en kopi af sig selv til. Bemærk, at W32.Sobig-F.worm spoofer til og fra
e-mail adresser
med høstede adresser fra den inficerede maskine. Det kan derfor ofte
forekomme, at
e-mailen ser ud til at komme fra en person som du kender og har tillid til.

W32.Sobig-F.worm indeholder en funktion, som via TCP 123 kontakter NTP
(Network Time Protocol)
servere. Det sker for at synkronisere tiden på den lokale inficerede
maskine.

Endeligt er W32.Sobig-F.worm i stand til at sprede sig via network shares og
kan dermed ofte
sprede sig ukontrolleret i et internt netværk.

W32.Sobig-F.worm indeholder en bagdør som kan give ondsindede brugere
uhindret adgang til et
inficeret system.

Denne analyse kan findes online på adressen:
http://www.krusesecurity.dk/advisories/sobig-f.txt

Med venlig hilsen / Kind regards

Peter Kruse
Kruse Security & Virusresearch
www.krusesecurity.dk


73 fra OZ5VIB Børge

http://borgeh.subnet.dk/ min hjemmeside.

Jeg er medlem af.
http://www.edr.dk EDR

http://www.qsl.net/oz9reg/ Repeaterforeningen Yding Skovhøj









 
 
Jane (19-08-2003)
Kommentar
Fra : Jane


Dato : 19-08-03 16:24

OZ5VIB Børge Bøjlund Jensen skrev i <news:bhtdme$7kn$1@sunsite.dk>:
> Med venlig hilsen / Kind regards
>
> Peter Kruse
> Kruse Security & Virusresearch
> www.krusesecurity.dk

Hmnn er det så Børge eller Peter som tror vi herinde er så
snotdumme at vi ikke selv kan finde ud af at kigge i
dk.edb.sikkerhed.virus gruppen selv hvis den slags emner
er interessante?

Jane

Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408849
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste