Sobig.E, gusano que llega en un .zip

Aunque en las últimas horas se ha detectado un aumento considerable en su propagación y las casas antivirus ya lo sitúan en alerta media, parece que podrá ser muy fácil de parar en el perímetro al usar un texto fijo en el cuerpo del mensaje utilizado para distribuirse. Amén de que viene con fecha de caducidad, el gusano autodesactiva su propagación el 14 de julio del presente año.

Los administradores de servidores de correo pueden aplicar sencillos filtros, o aleccionar a la utilidad antispam de turno, para reconocer a Sobig.E y evitar que llegue a los usuarios. El mensaje en el que viaja el gusano tiene las siguientes características:

Cuerpo del mensaje:

Please see the attached file for details.

Asunto (alguno de los siguientes):

referer.pif

004448554.pif

re.document.pif

new_document.pif

submited.pif

Screensaver.scr

movie.pif

Applications.pif

Application.pif

Your application

Re: Re: Document

Re: Re: Application ref. 003644

Re: Documents

Re: Screensaver

Re: Submited (Ref: 003746)

Re: Movies

Re: Movie

Re: Application

Archivo adjunto (alguno de los siguientes):

your details.zip (contiene comprimido el archivo details.pif) application.zip (contiene comprimido el archivo application.pif) document.zip (contiene comprimido el archivo document.pif) screensaver.zip (contiene comprimido el archivo sky.world.scr) movie.zip (contiene comprimido el archivo Movie.pif)

Por lo demás, esta versión del gusano es similar a sus predecesores, se distribuye a través de los recursos compartidos de las redes locales y por e-mail. Las direcciones a las que se envía las recoge de los archivos con extensión .WAB, .DBX, .HTM, .HTML, .EML y .TXT que encuentra en los sistemas infectados.

Para aquellos sistemas que hayan sido infectados, es posible la desinfección manual con unos sencillos pasos:

1. En Windows 9x/ME reiniciar el sistema en modo seguro.

En Windows NT/2000/XP finalizar el proceso winssk32.exe

2. Eliminar los siguientes archivos de la carpeta de Windows

winssk32.exe

msrrf.dat

3. Eliminar las entradas “SSK Service” de las claves del registro de Windows

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion

Run “SSK Service” = %WinDir%winssk32.exe HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion

Run “SSK Service” = %WinDir%winssk32.exe

4. Si el gusano se ha distribuido a través de los recursos compartidos de la red local, revisar y eliminar ejecutables sospechosos de las siguientes carpetas C:Documents and SettingsAll UsersStart MenuProgramsStartup C:WindowsAll UsersStart MenuProgramsStartup