Sobig.F-haittaohjelma leviää aktiivisesti

Sobig-haittaohjelman uusi variantti, Sobig.F, leviää erittäin aktiivisesti. Ensimmäiset Sobig.F-variantit havaittiin elokuun 19. päivänä. Sobig.F leviää sähköpostin välityksellä ja sisältää liitetiedoston, jonka koko on 70 KB. Haittaohjelma saastuttaa haavoittuvan tietojärjestelmän, kun liitetiedosto aktivoidaan. Mato lopettaa leviämisen 10. päivänä syyskuuta.

Sobig.F -haittaohjelma yrittää ladata tietyistä osoitteista lisää ohjelmakoodia joka perjantai ja sunnuntai kolmen tunnin ajan alkaen kello 22:00 Suomen aikaa. Lataustoiminto aktivoituu ensimmäisen kerran 22.8.

Haittaohjelma leviää käyttäen saastuneesta tietojärjestelmästä saatuja sähköpostiosoitteita, joten haittaohjelman sisältämien sähköpostin lähettäjätiedot eivät pidä paikkaansa.

Haittaohjelma asentaa itsensä:

%windir%\winppr32.exe -nimiseksi tiedostoksi

Mato lisää seuraavat tietueet kohdetietojärjestelmän rekisteriin:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\TrayX
= <Windows folder>\winppr32.exe /sinc

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\TrayX
= <Windows folder<\winppr32.exe /sinc

Sobig.F-madon sisältämissä sähköpostiviesteissä esiintyy seuraavia otsikkoja:

Re: Thank you!
Thank you!
Your details
Re: Details
Re: Re My details
Re: Approved
Re: Your application
Re: Wicked screensaver
Re: That movie

Sobig.F-haittaohjelman sisältämissä sähköposteissa esiintyy seuraavia sisältötietoja:

See the attached file for details
Please see the attached file for details

Sobig.F-haittaohjelman sisältämissä sähköpostin liitetiedoissa esiintyy seuraavia liitetiedostonimiä:

your_document.pif
document_all.pif
thank_you.pif
your_details.pif
details.pif
document_9446.pif
application.pif
wicked_scr.pif
movie0045.pif

Varoituksen kohderyhmä

  • Windows-käyttöjärjestelmällä varustetut tietojärjestelmät

Ratkaisu- ja rajoitusmahdollisuudet

  • Suojaa tietojärjestelmä virustorjuntaohjelmistolla ja huolehdi virustunnistustietokannan päivityksestä

  • Älä avaa sähköpostin liitetiedostoja ilman virustarkastusta

  • Tuhoa välittömästi Sobig.F-haittaohjelman sisältämät sähköpostit

Lisätietoa

http://www.f-secure.com/v-descs/sobig_f.shtml

http://securityresponse.symantec.com/avcenter/venc/data/w32.sobig.f@mm.html

http://www.norman.com/virus_info/w32_sobig_f_mm.shtml

http://www.sophos.com/virusinfo/analyses/w32sobigf.html

VERSIOHISTORIA:

19.8.2003 Ensimmäinen versio julkaistu

22.8.2003 Toinen versio julkaistu: Lisätty tieto madon ohjelmakoodin
lataustoiminnosta

Päivityshistoria

Asiasanat: Tietoturva , Varoitukset

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248