Internetom sa zaΦal priam z hodiny na hodinu masovo Üφri¥ nov² variant poΦφtaΦovΘho Φerva Win32/Sobig, ktor² na ve╛kΘ Ü¥astie "leniv²ch" pou₧φvate╛ov (... ktor²m sa nechc· inÜtalova¥ ₧iadne zßplaty urΦenΘ pre aplikßcie spoloΦnosti Microsoft) nezneu₧φva ₧iadne v²znamnejÜie bezpeΦnostnΘ diery v OS MS Windows. Tento Φerv sa dokß₧e masovo Üφri¥ najmΣ pomocou emailov²ch sprßv, vo forme prilo₧enΘho s·boru s prφponou .PIF alebo .SCR a menej intenzφvne aj prostrednφctvom nedostatoΦne zabezpeΦen²ch sie¥ovo zdie╛an²ch diskov. V infikovanom systΘme vytvßra dva novΘ s·bory, vyh╛adßva emailovΘ adresy svojich nov²ch obetφ a rozposiela na ne automaticky generovanΘ emailovΘ sprßvy so svojφm telom. Hoci sa jeho aktφvna ₧ivotnos¥ konΦφ a₧ 10.9.2003, mo₧no u₧ o pßr dnφ sa tento Φerv za pou₧itia vlastn²ch prostriedkov pok·si o svoju vlastn· aktualizßciu alebo o inÜtalßciu novΘho ÜkodlivΘho k≤du (... akΘho zatia╛ nemo₧no presne urΦi¥) do nφm infikovan²ch systΘmov!

PoΦφtaΦov² Φerv Win32/Sobig.F (... alias I-Worm.Sobig.F) je vytvoren² tak ako vÜetky predchßdzaj·ce varianty v programovacom jazyku MS Visual C++. Naposledy vytvoren² variant Win32/Sobig.E sa prestal masovo Üφri¥ pribli₧ne v poloviΦke j·la 2003. Odvtedy mali pou₧φvatelia poΦφtaΦov a Internetu od tzv. sobig-mßnie relatφvny pokoj û a to a₧ do dneÜnΘho obeda, kedy prebral pomyse╛n· Ütafetu nov² Φerv Win32/Sobig.F. Ten sa dokßzal v priebehu nieko╛k²ch hodφn obrovskou r²chlos¥ou prebojova¥ v celosvetov²ch Ütatistikßch TOP10 Ükodliv²ch k≤dov na prvΘ miesto, ktorΘho sa pod╛a aktußlnych informßciφ asi tak skoro nevzdß. Teda aspo≥ nie do 10.9.2003, kedy konΦφ jeho ₧ivotnos¥, resp. schopnos¥ Üφri¥ sa medzi jednotliv²mi systΘmami pomocou automaticky generovan²ch emailov²ch sprßv, ktorΘ obsahuj· vo svojej prφlohe infikovan² û spustite╛n² s·bor. Po uvedenom dßtume zostßva sφce Φerv aj na∩alej prφtomn² v systΘme, no k jeho ∩alÜiemu Üφreniu u₧ nedochßdza. :-)

╚erv Win32/Sobig.F sa medzi pou₧φvate╛mi Üφri toho Φasu najintenzφvnejÜie prostrednφctvom emailov²ch sprßv, v rßmci ktor²ch m⌠₧e by¥ v polo₧ke odosielate╛ pou₧itß podstrΦenß alebo univerzßlne pou₧φvanß emailovß adresa, v tvare "admin@internet.com". PrφznaΦnΘ pre takΘto sprßvy s· tie₧ textovΘ informßcie uvedenΘ v ich predmete: "Re: That movie / Re: Wicked screensaver / Re: Your application / Re: Approved / Re: Re: My details / Re: Details / Your details / Thank you! / Re: Thank you!" a obsahu: "Please see the attached file for details. / See the attached file for details". Vo forme prφlohy je ich priamou s·Φas¥ou aj spustite╛n² û infikovan² s·bor, ktorΘho nßzov je variabiln² a vyberan² Φervom pri tvorbe emailov²ch sprßv nßhodne z predpripravenej mno₧iny: "MOVIE0045.PIF / WICKED_SCR.SCR / APPLICATION.PIF / DOCUMENT_9446.PIF / DETAILS.PIF / YOUR_DETAILS.PIF / THANK_YOU.PIF / DOCUMENT_ALL.PIF / YOUR_DOCUMENT.PIF". Ve╛kos¥ prilo₧enΘho s·boru je za be₧n²ch podmienok okolo 72 a₧ 75 kB, priΦom jeho obsah je interne komprimovan² pomocou nßstroja TeLock.

K aktivßcii prilo₧enΘho s·boru m⌠₧e d⌠js¥ v²luΦne na priamy podnet pou₧φvate╛a. V prφpade, ₧e nastane takßto situßcia, Φerv ulo₧φ k≤piu svojho tela vo forme s·boru WINPPR32.EXE, do hlavnΘho adresßra OS MS Windows (t.j. C:\Windows alebo C:\WINNT). V identickom adresßri tie₧ vytvorφ s·bor nazvan² WINSTT32.DAT, ktor² mß sφce na poΦiatku nulov· ve╛kos¥, no nesk⌠r si do≥ho Φerv ukladß vÜetky nßjdenΘ emailovΘ adresy svojich nov²ch potencißlnych obetφ. V tejto fßze Φerv doplnφ eÜte dva novΘ k╛·Φe/hodnoty do systΘmov²ch registrov, prostrednφctvom ktor²ch si zabezpeΦφ aktivßciu novovytvorenΘho s·boru WINPPR32.EXE pri ka₧dom ∩alÜom Ütarte OS. Jednß sa o nasleduj·ce ·pravy:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Run\CurrentVersion
... TrayX = %WindowsDir%\winppr32.exe /sinc

HKEY_CURRENT_USER\Software\Microsoft\Windows\Run\CurrentVersion
... TrayX = %WindowsDir%\winppr32.exe /sinc

Po ukonΦenφ poΦiatoΦn²ch operßciφ zaΦne Φerv vyh╛adßva¥ novΘ emailovΘ adresy nachßdzaj·ce sa v s·boroch s prφponami: .TXT, .EML, .HTML, .HTM, .DBX, .WAB, .MHT a .HLP, na ktorΘ postupne rozposiela pomocou vlastnej SMTP (Simple Mail Transport Protocol) rutiny automaticky vygenerovanΘ emailovΘ sprßvy, obsahuj·ce vo svojej prφlohe spustite╛n² û infikovan² s·bor (... charakteristickΘ znaky t²chto sprßv s· uvedenΘ vyÜÜie).
Tento Φerv, rovnako ako vÜetci jeho predchodcovia, dokß₧e identifikova¥ nedostatoΦne zabezpeΦenΘ sie¥ovo zdie╛anΘ diskovΘ jednotky, dostupnΘ v rßmci lokßlnej poΦφtaΦovej siete. Na ka₧dej z nßjden²ch jednotiek sa sna₧φ lokalizova¥ adresßr "Documents and Settings\All Users\Start Menu\Programs\Startup" alebo "Windows\All Users\Start Menu\Programs\StartUp" (... v zßvislosti od pou₧φvanej verzie OS MS Windows) a nßsledne do≥ho nakopφrova¥ svoje telo vo forme infikovanΘho û spustite╛nΘho s·boru. Takto vytvoren² s·bor sa na vzdialenom poΦφtaΦi aktivuje po jeho najbli₧Üom reÜtarte, priΦom cel² proces Üφrenia sa Φerva zaΦne prebieha¥ od zaΦiatku.

AktualizaΦnß rutina û m⌠₧e by¥ ∩alÜou skrytou hrozbou tohto Φerva?!
ZnaΦnou novinkou v s·vislosti s t²mto variantom poΦφtaΦovΘho Φerva Win32/Sobig.F je jeho aktualizaΦnß rutina, ktor· AV-odbornφci oznaΦovali za ∩alÜiu skryt· hrozbu. Rutina je vytvorenß tak, aby ka₧d· hodinu zφskavala od devΣtnßstich vzdialen²ch NTP (Network Time Protocol) serverov absol·tne presn· informßciu o Φase û udßvan· v UTC. Jej ·lohou je koordinovanß aktivßcia aktualizaΦnej rutiny na vÜetk²ch poΦφtaΦoch infikovan²ch Φervom Win32/Sobig.F v jeden a ten ist² okamih, bez rozdielu na tom, Φi sa systΘmy nachßdzaj· umiestnenΘ NewYorku, Lond²ne, Moskve alebo Sydney. ╚as "T", kedy by malo d⌠js¥ k aktivßcii tejto rutiny je ohraniΦen² intervalom od 19.00 do 22.00 UTC (... u nßs je to od 21.00 do 0:00 hod.) v piatok a nede╛u.
V rozmedzφ tohto trojhodinovΘho intervalu sa ka₧dß aktφvna k≤pia Φerva nachßdzaj·ca sa kdeko╛vek na svete zaΦne kontaktova¥ (... pomocou protokolu UDP a portu 8998) s jedn²m z dvadsiatky preddefinovan²ch serverov (... v²ber konkrΘtneho z nich prebieha nßhodne). ╚erv pre prφstup k serveru pou₧φva 8-bajtov² autentifikaΦn² k≤d, ktor² ho oprßv≥uje zφska¥ adresu ∩alÜieho tzv. cie╛ovΘho û aktualizaΦnΘho servera. Z neho by Φerv mal vedie¥ zφska¥ novΘ dßta, ktorΘ automaticky ulo₧φ na disk infikovanΘho poΦφtaΦa a spustφ ich. Ke∩₧e vÜak toho Φasu eÜte stßle nie je znßma adresa cie╛ovΘho û aktualizaΦnΘho servera nedokß₧u AV-odbornφci presne urΦi¥ o akΘ dßta by sa malo jedna¥. Do ·vahy prichßdza naprφklad: nov² variant Φerva Win32/Sobig, ·plne nov² Ükodliv² k≤d s deÜtruktφvnymi rutinami, zneu₧φvaj·ci ∩alÜie bezpeΦnostnΘ diery v OS MS Windows, ... . ╚o presne to teda bude zatia╛ nikomu nie je jasnΘ, no viacerΘ poprednΘ svetovΘ spoloΦnosti a organizßcie robia vÜetko preto, aby k ·speÜnΘmu vykonaniu aktualizaΦnej rutiny Φerva v uveden²ch Φasov²ch intervaloch za ₧iadnych okolnostφ nemohlo d⌠js¥. Apropo, ukß₧ku fungovania vyÜÜie spomφnanej aktualizaΦnej rutiny a s ≥ou s·visiacich procesov si m⌠₧ete pozrie¥ priamo tu.

Doplnok zo d≥a 23.8.2003
V priebehu vΦerajÜieho û piatkovΘho veΦera v Φase od 19.00 do 22.00 UTC bola po prv² raz v aktφvnych k≤pißch Φerva Win32/Sobig.F v plnom rozsahu aktivovanß ich aktualizaΦnß rutina. Tß sa pok·sila automaticky prist·pi¥ k dvadsiatke preddefinovan²ch serverov, odkia╛ mala zφska¥ adresu cie╛ovΘho û aktualizaΦnΘho servera. V∩aka ·siliu vybran²ch AV-spoloΦnostφ, spoloΦnosti Microsoft, organizßcie CERT a americkej FBI sa u₧ o 16.00 UTC podarilo vyradi¥ z prevßdzky alebo odpoji¥ od poΦφtaΦovej siete 18 z p⌠vodn²ch 20 preddefinovan²ch serverov, s ktor²mi sa mal Φerv vo veΦern²ch hodinßch zaΦa¥ kontaktova¥. O 18.30 UTC bol prφstupn² na sieti u₧ len jedin² z t²chto serverov (... umiestnen² v U.S.A.), ktor² sa vÜak krßtko potom ako ho zaΦali jednotlivΘ aktφvne k≤pie Φerva kontaktova¥ "zr·til" pod nßvalom prichßdzaj·cich po₧iadaviek a nßsledne sa stal nedostupn²m. Pribli₧ne o 19.00 UTC u₧ na sieti nebol dostupn² ₧iadny zo serverov, ktor² by aktφvnym Φervom Win32/Sobig.F "povedal" adresu ich cie╛ovΘho û aktualizaΦnΘho servera. T²m pßdom, do infikovan²ch poΦφtaΦov nedokßzali Φervy stiahnu¥ ₧iadne novΘ dßta, Φφm svoju hrozbu, ktor· predstavuj· eÜte aj teraz pre jednotliv²ch pou₧φvate╛ov nijako nezmenili.
Na zßklade dostupn²ch informßciφ je ve╛mi pravdepodobnΘ, ₧e ₧iaden z dvadsiatich preddefinovan²ch serverov nebude v priebehu najbli₧Üφch dnφ pripojen² do poΦφtaΦovej siete. To znamenß, ₧e ani zajtrajÜφ û nede╛n² pokus Φervov Win32/Sobig.F spoji¥ sa s nimi by nemal prinies¥ so sebou ₧iadne v²raznejÜie zmeny Φi rizikß. Tßto skutoΦnos¥ urΦite nepoteÜφ tvorcu alebo tvorcov tohto Φerva, nu₧ a prßve preto by bolo vhodnΘ, aby pou₧φvatelia v najbli₧Üom obdobφ dos¥ aktφvne sledovali novΘ informßcie zo sveta Ükodliv²ch k≤dov a pravidelne aktualizovali svoje AV-systΘmy. Je toti₧ dos¥ pravdepodobnΘ, ₧e Φerv Win32/Sobig.F bude ma¥ aj svojho ∩alÜieho pokraΦovate╛a. Ve∩ ak ste si nßhodou nevÜimli jeho aktφvna ₧ivotnos¥ sa konΦφ d≥a 10.9.2003, no a potom tu mßme opΣ¥ neslßvne znßmy 11. september... .

V Φase uverejnenia tohto popisu dokßzala identifikova¥ a eliminova¥ poΦφtaΦov² Φerv Win32/Sobig.F vΣΦÜina existuj·cich AV-systΘmov. Pod╛a Ütatistφk dostupn²ch na web strßnkach spoloΦnosti MessageLabs. sa tento Φerv Üφri celosvetovou sie¥ou Internet ve╛mi r²chlo a stßle nadmieru intenzφvne. Prßve preto odpor·Φame pou₧φvate╛om poΦφtaΦov, aby v Φo najkratÜom Φase vykonali aktualizßciu pou₧φvanΘho AV-systΘmu a v najbli₧Üφch d≥och boli ove╛a opatrnejÜφ pri prßci s nevy₧iadan²mi emailov²mi sprßvami pochßdzaj·cimi od neznßmych odosielate╛ov. Pre t²ch "Ü¥astlivcov", ktor²m sa u₧ podarilo vyÜÜie spomφnan² poΦφtaΦov² Φerv aktivova¥ vo svojom systΘme pon·kame tak ako v₧dy jedno·Φelov² AV-program urΦen² pre jeho r²chlu a efektφvnu eliminßciu û dostupn² je v sekcii nazvanej Jedno·ΦelovΘ AV.