Sobig: Zpráva od velkého šéfa

Počátek roku 2003 přinesl několik nových škodlivých kódů, které se dočkaly poměrně značného rozšíření mezi ...


Počátek roku 2003 přinesl několik nových škodlivých kódů, které se dočkaly
poměrně značného rozšíření mezi uživateli. Jedním z nich se stal i Sobig, který
byl zprvu jen dalším z dlouhé řady e-mailových červů. Pak se ovšem letos v létě
objevila jeho varianta Sobig.F.
Původní červ Sobig je po příchodu do elektronické poštovní schránky velmi
jednoduše k poznání: Jako adresu odesílatele má totiž přednastavený e-mail
big@boss.com. Co se týká předmětu zprávy, bývá to jeden z následujících: Re:
Movies, Re: Sample, Re: Document nebo Re: Here is that sample. A to
nejdůležitější z hlediska škodlivého kódu, tedy příloha zprávy, se jmenuje
Movie_0074.mpeg.pif, Document003.pif, Untitled1.pif nebo Sample.pif.
Sobig se šíří prostřednictvím elektronické pošty, aktivuje se poklikáním na
přiložený soubor. Na rozdíl od ostatních škodlivých kódů, které využívají různé
bezpečnostní nedostatky, není schopen se aktivovat samočinně bez zásahu lidské
ruky. Díky vlastnímu SMTP enginu není červ závislý na enginu ani na konkrétním
poštovním klientovi a svou šířící rutinu je schopen provést prakticky kdykoliv.

Po spuštění
Po spuštění z přílohy e-mailové zprávy se nejprve instaluje do systému a
následně provede šířící rutinu při ní v napadeném počítači vyhledává soubory s
příponami wab, dbx, htm, html, eml a txt. Z nich vybírá textové řetězce, které
vypadají jako e-mailová adresa, a na ně se pak rozesílá. Není to ale jediný
způsob šíření, Sobig je schopen využívat také lokální síť. Zkontroluje, zdali
se v okolí infikovaného počítače nenachází stroj s nastaveným sdílením. Pokud
ano, nakopíruje soubor do těchto složek pod názvem winmgm32.exe:
WindowsAll UsersStart MenuProgramsStartUp
Documents and SettingsAll UsersStart MenuProgramsStartup
Sobig (sám o sobě dlouhý 64 kilobajtů, napsaný v MS Visual C++ a komprimovaný
utilitou TeLock) se po vstupu do počítače nakopíruje do adresáře Windows pod
jménem winmgm32.exe a registruje se do "auto-run" klíče:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun "WindowsMGM" =
<adresar>winmgm32.exe
(Kde "adresar" je aktuální umístění adresáře s operačním systémem Windows v
daném počítači.)
Červ také dokáže do počítače instalovat zadní dvířka (backdoor). Z
předdefinované webové adresy si nejprve stáhne textový soubor, který obsahuje
další odkaz tentokrát na EXE spustitelný soubor. Toto poněkud krkolomné řešení
umožňuje autorovi škodlivého kódu celkem pružně měnit místo uložení EXE souboru
a jeho obsah. Slabinou ale zůstává fakt, že prvotní webová adresa je pevně dána
a po jejím zrušení už není Sobig schopen rutinu zadních dvířek do počítače
instalovat. Než tuto schopnost pozbyl, stahoval příslušný EXE soubor, nahrával
jej do adresáře Windows pod jménem dwn.dat a spustil jej.
Výkonná alternativa V minulém měsíci způsobila velký rozruch nová varianta
uvedeného červa označovaná jako Sobig.F. Od svého předchůdce se liší nejen
výběrem předmětu e-mailů, ale také daleko výkonnější šířicí rutinou. Díky ní
červ doslova zahlcoval miliony e-mailových schránek desítkami i stovkami
nakažených zpráv denně. Jako odesílatele už neměl nastavenu jednu pevnou
adresu, ale náhodně si vybíral ze seznamu oběti tak často za původce svých
nesnází označovaly zcela nevinné osoby. Sobig.F byl naprogramován tak, aby se
šířením přestal 10. září 2003.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.