آشنایی با ویروس
Sobig.FSobig.f جز كرمهای میلی بوده كه در تاریخth19 از August سال 2003 پخش شد . این كرم میل هایی با مقدار حجم بالا می فرستاد و سوابق فرستنده راجعل می كرد . اجرای این كرم به روز هفته وابسته بوده و در روزهای یكشنبه و جمعه فعال می شود .
توصیف جزئیات :
این كرم در حالت فشرده شده وسعت پیدا كرد و بسته بندی شده بود بوسیلهTELock و بدنه فشرده نشده آن در حدود 100 كیلو بایت است و با زبان برنامه نویسی++ Visual C نوشته شده است .
نحوه آلوده كردن سیستم :
كرم خود را در آدرس زیر كپی می كند :
%Windir%/Winppr32.exe
و برای فعالیت خود كلید های زیر را در رجیستری ایجاد می كند :
[HKCU/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"TrayX" = %windir%/winppr32.exe /sinc
[HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"TrayX" = %windir%/winppr32.exe /sinc
این كرم در تاریخth10 از September سال 2003 به كار خود خاتمه داد و از این تاریخ به بعد دیگر اجرا نخواهد شد.
وسعت و پراكندگی ویروس در در ایمیل ها:
كرم Sobig.F معمولا با این مشخصات وارد میل می شود .
From:
The 'From:' field is filled with an address found from the infected system.
If no address is found, it will use "admin@internet.com"
To:
The 'To:' field is filled with an address found from the infected system.
Subject آن نیز معمولاً یكی از موارد زیر است:
Re: Thank you!
Thank you!
Your details
Re: Details
Re: Re: My details
Re: Approved
Re: Your application
Re: Wicked screensaver
Re: That movie
Body این ایمیل معمولاً یكی از دو مورد زیر می باشد:
See the attached file for details
Please see the attached file for details.
Attachment این ایمیل نیز معمولاً یكی از موارد زیر است:
your_document.pif
document_all.pif
thank_you.pif
your_details.pif
details.pif
document_9446.pif
application.pif
wicked_scr.scr
movie0045.pif
همچنین , هدر میل همیشه دارای این رشته است :
“X-Mail Scanner: Found to be clean”
دانلود كردن تروجان توسط كرم :
این كرم سعی می كند تا یك تروجان را در سیستم قربانی دانلود كند . البته دانلود و اجرای این تروجان به شروطی بستگی دارد :
باید ساعت بین 19:00 و 22:00 زمانUTC باشد ، كرم این تست را هر ساعت انجام می دهد تا شرط درست شود و این شرط در روزهای جمعه و یكشنبه
بدون در نظر گرفتن هفته انجام پذیر است . هنگامی كه شرط انجام پذیر بود كرم سعی می كند تا تروجان را ازURL از پیش تعریف شده خود دانلود كند. اینURL محتوی یك تروجان بوده كه دان لود شده و بر روی سیستم قربانی اجرا می شود .
لیستی از سرور هایNTP كه برای هماهنگ كردنURL برای دانلود تروجان به كار رفته به شكل زیر می باشد :
200.68.60.246
62.119.40.98
150.254.183.15
132.181.12.13
193.79.237.14
131.188.3.222
131.188.3.220
193.5.216.14
193.67.79.202
133.100.11.8
193.204.114.232
138.96.64.10
chronos.cru.fr
212.242.86.186
128.233.3.101
142.3.100.2
200.19.119.69
137.92.140.80
129.132.2.21
تاریخچه ای از خانوادهSobig ها :
لیست زیر تاریخچه ای از اولین پیدایش این خانواده ، نوع آنها ، تاریخ انقضا آنها و تاریخ نوشته شدن این كرم ها را نشان می دهد :
Variant Found Expires Detection
_____________________________________________________________
Sobig.A January 9th NO 2003-01-09_04
Sobig.B May 18th May 31st 2003-05-19_03
Sobig.C May 31st June 8th 2003-06-01_01
Sobig.D June 18th July 2nd 2003-06-18_03
Sobig.E June 25th July 14th 2003-06-26_02
Sobig.F August 19th September 10th 2003-08-19_02