Rendkívül szapora a Sobig féreg új mutációja

A support@microsoft.com címről érkező Sobig.B féregnek újabb variánsa bukkant fel a világhálón a múlt hét végén. Rendkívüli szaporasága miatt a vírusirtó szoftvereket forgalmazó vállalatok legtöbbje megemelte a feladója alapján immár nem felismerhető kórokozó veszélyességi besorolását.

Az először május 31-én észlelt Sobig.C igen gyorsan terjed: a féreg felbukkanását eddig több mint 84 országban regisztrálták. A kórokozó hasonlóan viselkedik elődjéhez: elsősorban e-mailek mellékletében terjed, de a fertőzött gépről megosztott könyvtárakon keresztül is képes további gépeket megfertőzni. A féreg saját SMTP motorját használva készíti elő a kiküldendő fertőzést hordozó leveleket. Az ezekhez szükséges címeket a fertőzött gépekről gyűjti össze az ott található .wab, .dbx, .htm, .html, .eml és .txt kiterjesztésű fájlokból.

A Sobig.C immár nem mindig azonos címet jelöl meg feladóként (noha gyakori a bill@microsoft.com), hanem a megfertőzött számítógépek címjegyzékeiből válogat. A vírusos levelek tárgy (subject) mezőjében az alábbiak valamelyike szerepel:

Re: Screensaver
Re: Movie
Re: Submited (004756-3463)
Re: 45443-343556
Re: Approved
Approved
Re: Your application
Re: Application

A fertőzést hordozó levelek szövegteste ismét közös: "Please see the attached file.", míg a víruskódot tartalmazó csatolt állomány .scr vagy .pif kiterjesztésű.

A féreg a helyi hálózaton keresztül is terjed. Miután a fertőzött gépen vezérléshez jut, megkísérli bemásolni a féregprogramot a Windows könyvtárába, és módosítva a beállításokat biztosítja, hogy az minden rendszerinduláskor aktiválódjon. A Sobig.C önmagában nem okoz kárt a számítógépeken, és azokat az URL-eket, amelyekről megkísérli frissíteni magát, már letiltották . Elődjéhez hasonlóan ez a féreg is deaktiválja magát: június 8-a után nem terjed tovább, noha a megfertőzött rendszeren tovább él. A legtöbb vírusirtó szoftver a legújabb adatbázis-frissítésekkel képes felismerni és eltávolítani.