B∞hem vΦerejÜka se sv∞tem rozlΘtla novß varianta viru Sobig, tentokrßt Win32/Sobig.E ! Po vzoru sv²ch starÜφch bratr∙ je op∞t adresa odesφlatele infikovanΘho e-mailu zfalÜovanß: support@yahoo.com (m∙₧e b²t i odliÜnß).

P°edchozφ °ßdky naznaΦily, ₧e Win32/Sobig.E se pochopiteln∞ Üφ°φ elektronickou poÜtou, tedy e-mailem. V p°edm∞tu takovΘho emailu se mohou objevit nßsledujφcφ texty:

Re: Application
Re: Movie
Re: Movies
Re: Submitted
Re: ScRe:ensaver
Re: Documents
Re: Re: Application ref 003644
Re: Re: Document
Your application
Application.pif
Applications.pif
movie.pif
Screensaver.scr
submited.pif
new document.pif
Re: document.pif
004448554.pif
Referer.pif

V p°φloze pak najdeme jeden z nßsledujφcφch soubor∙:

your_details.zip
application.zip
document.zip
screensaver.zip
movie.zip

Jak si m∙₧ete vÜimnout, nejde o klasickΘ spustitelnΘ soubory, ale o soubory zaarchivovanΘ ZIPem !!! Infikovan² soubor se nachßzφ a₧ uvnit° ZIPu !

Krom∞ toho se dokß₧e Üφ°it i p°es nevhodn∞ sφ¥ov∞ nasdφlenΘ pevnΘ disky. Pokud mu to situace umo₧≥uje (sdφlenφ adresß°e Windows pro zßpis i Φtenφ), Üφ°φ se prost°ednictvφm souboru, kter² umφstφ do skupiny "Po spuÜt∞nφ" v nabφdce START.

Pokud se u₧ p°eci jenom usadil Win32/Sobig.E ·sp∞Ün∞ v poΦφtaΦi, lze pou₧φt nßsledujφcφ jedno·Φelov² antivirus - fixsbige.exe, spustit ho p°φmo z Windows a on u₧ s nφm zatoΦφ :-) P°ed jeho pou₧itφm doporuΦuji vypnout stßvajφcφ antivirus, p°edevÜφm jeho rezidentnφ Ütφt (on-access skener), jinak bude dochßzet ke kolizφm. Pokud se na stanici nachßzφ Windows Me nebo XP, pak je nezbytn∞ nutnΘ p°ed pou₧itφm v²Üe uvedenΘho antiviru vypnout funkci Restore - Obnova systΘmu (viz. Jak se zbavit hav∞ti).

RuΦnφ dezinfekce tohoto viru spoΦφvß v odmazßnφ souboru winssk32.exe, kter² se nachßzφ v adresß°i Windows a nßsledn∞ v likvidaci polo₧ky SSK Service, kterß na n∞j odkazuje z klφΦe registr∙: HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run. Krom∞ toho je vhodnΘ odmazat i soubor msrrf.dat.

Podobn∞ jako p°edchozφ varianty obsahuje podmφnku, dφky kterΘ se p°estane zcela Üφ°it po 13. Φervenci 2003. Zachrßnit ho m∙₧e snad jen Üpatn∞ nastaven² datum poΦφtaΦe :-)