NOTÍCIAS 2003

Verme Sobig tem grau de risco aumentado

Devido ao crescimento de submissões, o Symantec Security Response aumentou de 2 para 3 (numa escala que varia de 1 a 5) o grau de risco de ameaça do W32.Sobig.E@mm, um verme de distribuição em massa que se auto envia para todos os endereços de correio eletrônico que encontra nos arquivos do computador afetado. A Symantec já tem página específica sobre esse verme na Internet, com a vacina.

Os arquivos usados pelo verme têm as seguintes extensões: *.wab, *.dbx, *.htm, *.html, *.eml e *.txt. A mensagem de correio eletrônico informa falsamente ter sido enviada pela Yahoo (support@yahoo.com), mas também pode ter outro remetente, já que o verme consegue controlar esse campo de dados. No campo Assunto, pode constar um desses exemplos:

Re: Application
Re: Movie
Re: Movies
Re: Submitted
Re: ScRe:ensaver
Re: Documents
Re: Re: Application ref 003644
Re: Re: Document
Your application
Application.pif
Applications.pif
movie.pif
Screensaver.scr
submited.pif
new document.pif
Re: document.pif
004448554.pif
Referer.pif

Já os arquivos anexados à mensagem podem ser, por exemplo:

your details.zip (contém details.pif)
application.zip (contém application.pif)
document.zip (contém document.pif)
screensaver.zip (contém sky.world.scr)
movie.zip (contém Movie.pif)

Esses arquivos têm 82.195 bytes (comprimido) e 86.528 bytes (o executável, extraído do correspondente arquivo *.zip. O verme é também conhecido como: Win32.Sobig.E [CA], W32/Sobig-E [Sophos], W32/Sobig.e@MM [McAfee] e afeta os sistemas Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me. Não afeta os sistemas Macintosh, OS/2, Unix e Linux.

Variante C - A variante Sobig C, que também teve o grau de risco aumentado em junho/2003, usa o mecanismo Simple Mail Transfer Protocol (SMTP) para se disfarçar com os mais variados endereços eletrônicos, incluindo uma suposta mensagem de Bill Gates com o remetente bill@microsoft.com. Até o início desse mês, a Symantec já havia registrado mais de 700 submissões em todo o mundo e cerca de 300 submissões no continente americano.

Essa variante chega ao computador pessoal por meio de um arquivo executável (*.scr ou *.pif), com tamanho de aproximadamente 59 KB, que é ativado quando aberto, enumera os compartilhamentos de rede e tenta se copiar para as seguintes localidades:

ou

De acordo com os técnicos da Symantec, possui alto poder de distribuição e envia cópia de si mesmo a todos os contatos do catálogo de endereços do Windows. O corpo da mensagem apresenta a frase "Please see the attached file" e a linha de assunto pode apresentar as seguintes variações:

Re: Movie
Re: Submited (004756-3463)
Re: 45443-343556
Re: Approved, Approved
Re: Your application
Re: Application.

"Quando executado, o verme envia os arquivos mscvb32.exe e msddr.dat para o diretório de instalação do Windows. O vírus também é capaz de adicionar chaves de registro ao sistema, para que o obter códigos carregados na inicialização da máquina" afirmou Ricardo Costa, gerente da engenharia de sistemas da Symantec do Brasil. Segundo ele, o W32.Sobig.C@mm reconhece as características da rede da qual faz parte a máquina infectada. Ele desconsidera os recursos da rede e cria uma cópia de si mesmo nestas pastas de outros computadores aos quais tenha acesso:

e

A Symantec já disponibilizou em página Web especial uma ferramenta para remoção do Sobig C. Outra página apresenta informações detalhadas sobre esse verme. E a vacina específica também está disponível para os usuários de produtos Symantec na página do centro anti-vírus.

McAfee também - O alerta especial sobre o Sobig C foi dado simultaneamente pela produtora de antivírus McAfee Security/Network Associates: "De origem desconhecida, a nova variante do vírus Sobig - W32/Sobig.c@MM - foi descoberta em 31/05/03 e já é detectada pela McAfee Security como W32/Sobig.dam, através do Dat-4267".

Explica a empresa que a A variante .C é similar à variante .B. O Sobig.c se propaga via correio eletrônico a todos os endereços adquiridos na máquina da vítima, construindo mensagens com o uso de seu próprio mecanismo SMTP. Os anexos podem ter parte de suas extensões, omitidas. Por exemplo, a vítima pode receber uma mensagem contendo um anexo .PI, quando na realidade é .PIF. Os anexos podem ser assemelhados a:

45443.pif
application.pif
approved.pif
document.pif
documents.pif
movie.pif
screensaver.scr
submited.pif

No corpo da mensagem aparece o texto "Please see the attached file".

O Sobig.c enumera os compartilhamentos de rede e tenta se copiar para as seguintes localidades, se o caminho estiver acessível:

Dessa forma, uma vez executado, ele lança os seguintes arquivos no diretório de instalação do Windows: "mscvb32.exe" (aproximadamente 50kB - uma cópia do próprio vírus) e "msddr.dat" (arquivo de configuração).

Finalmente, chaves de registro são adicionadas ao sistema, para que o Sobig.c tenha seus códigos carregados na inicialização da máquina. Essas chaves podem ser notadas conforme abaixo:

Essa nova ameaça está sendo considerada de Médio Risco, no mundo. A empresa tem uma página em inglês com mais informações sobre a variante C o Sobig. E no caso de qualquer suspeita ou dúvidas quanto a vírus, os internautas podem encaminhar mensagens para um endereço especial de correio eletrônico no Brasil.

A McAfee Security recomenda que os produtos antivírus sejam atualizados
semanalmente, além de estar configurados para proteção em arquivos compactados (compressed files).