Worm Sobig está de volta

Uma nova variante foi detectada pelas empresas de antivírus do conhecido worm Sobig que alguns meses atrás conseguiu bloquear muitos computadores.

A nova “F” do worm Sobig (W32/Sobig.F encontra-se programada para se propagar rapidamente via e-mail tendo já causado centenas de incidências um pouco por todo o globo de acordo com a Panda Software.

O Sobig.F utiliza a denominada engenharia social de forma a ludibriar os utilizadores. Contudo, torna-se fácil de reconhecer a mensagem que o transporta uma vez que possui sempre as seguintes características:

Assunto (um dos seguintes):

Re: Thank you!
Thank you!
Your details
Re: Details
Re: Re: My details
Re: Approved
Re: Your application
Re: Wicked screensaver
Re: That movie

Mensagem (uma das seguintes):

See the attached file for details
Please see the attached file for details.

Ficheiros em anexo (um dos seguintes):

your_document.pif
document_all.pif
thank_you.pif
your_details.pif
details.pif document_9446.pif
application.pif
wicked_scr.scr
movie0045.pif

É importante realçar que o Sobig.F só pode infectar os computadores se o ficheiro anexo à mensagem for executado.

Quando isto acontece, o worm utiliza o seu próprio motor SMTP reenviando-se para todos os endereços de e-mail em ficheiros com as extensões TXT, HTM*, WAB, DBX e .EML, presentes no computador afectado.

Também se copia para o disco rígido com o nome winppr32.exe e cria várias entradas no Windows Registry de forma a se assegurar que é executado sempre que o computador é iniciado.