Važno! Sophos nas je obavijestio o mogućnosti 'drugog udarnog vala' crva W32/Sobig-F koji bi se mogao dogoditi danas (22. kolovoza 2003.). Naime, ako je crv aktiviran može pokušati preuzeti jednu verziju trojanskog konja koja bi mogla omogućiti udaljenim korisnicima neovlašteno preuzimanje potpune kontrole nad inficiranim računalom. Više detalja možete naći na stranicama Sophosa. Sophos Plc obavijestio nas je o novom crvu W32/Sobig-F za koji je primio više prijava otkrivanja. Qubis d.o.o. do sada je također primio veći broj dojava otkrivanja ovog crva u Hrvatskoj. Crv W32/Sobig-F prepoznavat će Sophos Anti-Virus za listopad 2003. (v3.74). Instalacije svih korisnika koji koriste Enterprise Manager, Sophosov alat za automatizirano dograđivanje putem Interneta, dograđene su automatski 19. kolovoza 2003., kada je objavljena prva verzija ove dogradnje ili nakon toga, ovisno o tome kako je podešena učestalost dograđivanja. Svim korisnicima preporučujemo da, ako već nisu, svoje programe Sophos Anti-Virus odmah dograde hitnom dogradnjom za prepoznavanje ovog crva, koju možete naći na http://www.sophos.com/downloads/ide/. VrstaWin32 crv Alias- I-Worm.Sobig.f
- W32/Sobig.F-mm
- W32/Sobig.f@MM
- WORM_SOBIG.F
Način širenjaŠiri se elektroničkom poštom i dijeljenim resursima na mreži (iako prema nekim informacijama umnožavanje preko mreže nije uvijek uspješno). Aktivnosti / Simptomi / PosljedicePo pokretanju virus će kreirati datoteke: Kreira nove stavke u registry-ju:. - HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ TrayX = <Windows folder>\winppr32.exe /sinc
- HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ TrayX = <Windows folder<\winppr32.exe /sinc
Šalje svoju kopiju na elektroničke adrese koje pronalazi u datotekama s nastavkom .dbx, .eml, .hlp, .htm, .html, .mht, .wab i .txt na zaraženom računalu. Pri slanju koristi svoj SMTP mehanizam, a u polje "From:" stavlja lažne podatke. Subjekt poruke odabire slučajno od sljedećih kombinacija: - Re: That movie
- Re: Wicked screensaver
- Re: Your application
- Re: Approved
- Re: Re: My details
- Re: Details
- Your details
- Thank you!
Tekst poruke:- Please see the attached file for details.
- See the attached file for details
U attachment (veličine oko 70KB) stavi svoju kopiju pod jednim od sljedećih naziva:- movie0045.pif
- wicked_scr.scr
- application.pif
- document_9446.pif
- details.pif
- your_details.pif
- thank_you.pif
- document_all.pif
- your_document.pif
Uklanjanje - uklonite inficirano računalo s mreže
- osigurajte da je instalirana zadnja verzija Sophos Anti-Virusa
- pokrenite Sophosov alat za uklanjanje ovog crva
- provjerite da li su uklonjene datoteke koje crv kreira
- provjerite da li su iz registry-ja uklonjene stavke koje dodaje crv
- pokrenite Sophos Anti-Virus i skenirajte računalo
Zaštita od infekcije ili aktivnosti crva- onemogućenje slanja i primanja attachmenta s nastavcima EXE, COM, PIF i sl.
- poduka korisnika o sigurnom načinu korištenja Interneta
- zatvaranje portova na vatrozidu koji nisu neophodni za poslovanje
Ostalo Još podataka možete pronaći na sljedećim stranicama: Sažetak svojstava | Širenje | | E-Mail | R | | Network share | ? | | P2P | Q | | Ostalo | Q | | Aktivnost | | Zaustavlja Sophos | Q | | Mijenja registry | R | | Kreira / Mijenja datoteke | R | | Otvara backdoor | R | | Otvara port (UDP:8998) | R | | KeyLogging | Q | | Automatska obnova | ? | | Uklanjanje | | Čišćenje / uklanjanje (DOS / Safe mode + Cmd prompt) | R | | Promjena registry-ja | Q | | Čišćenje datoteka | Q | | Uklanjanje datoteka | R | | Zaštita | | Zakrpa | Q | | Filtriranje sadržaja na gateway-u | Q | | Vatrozid | Q | | Poduka korisnika | R |
| 