Win32/Sobig

Win32/Sobig je Internetovým wormem, který posílá sebe sama na všechny adresy, které nalezne na pevném disku v souborech typu txt, eml, html, htm, dbx a wab. Při svém šíření používá jeden z následujících předmětů zpráv:

 
Re: Movies 
Re: Sample 
Re: Document 
Re: Here is that sample  

... a připojenou kopii sebe sama pojmenovává jedním z následujících jmen:

Movie_0074.mpeg.pif 
Document003.pif 
Untitled1.pif 
Sample.pif  

Po svém spuštění nejprve uloží sebe sama do adresáře Windows pod jménem winmgm32.exe a vytvoří následující klíč v registry, který zaručí jeho automatické spuštění při každém startu Windows:

HKLM / Software / Microsoft / Windows / CurrentVersion / Run / WindowsMGM

Pak se snaží rozšířit se po lokální síti - zkouší se zkopírovat do následujících adresářů na všech dostupných sdílených vzdálených discích:

\ Windows \ All Users \ Start Menu \ Programs \ StartUp
\ Documents and Settings \ All Users \ Start Menu \ Programs \ Startup

Nakonec se pokouší kontaktovat jednu www stránku na serveru Geocities a odtud získat umístění trojského koně, kterého se pak pokusí stáhnout a vypustit do infikovaného systému.


Zdroj: Alwil software - výrobce antiviru AVAST