La utilización de textos fijos para componer los mensajes a través de los que se distribuye es su particular talón de Aquiles, ya que facilita al usuario detectarlo por sus rasgos más externos. Característica que también augura a «Sobag» un ciclo de vida muy
corto.
Remitente:
big@boss.com
Posibles Asuntos:
Re: Movies
Re: Sample
Re: Document
Re: Here is that sample
Nombres de archivo adjunto:
Movie_0074.mpeg.pif
Document003.pif
Untitled1.pif
Sample.pif
Sobag se distribuye a través del correo electrónico, recolectando direcciones de los archivos con extensiones *.WAB, *.DBX, *.HTM, *.HTML, *.EML, *.TXT que encuentra en los equipos que infecta.
Cuando logra ejecutarse en un sistema, Sobag se copia en el directorio de Windows con el nombre WINMGM32.EXE y se asegura su lanzamiento cada vez que se inicia el sistema con las siguientes entradas en el registro de Windows:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
«WindowsMGM» =
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
«WindowsMGM» =
El gusano también enumera todos los recursos compartidos en las redes locales, e intenta copiarse con el nombre de WINMGM32.EXE en los siguientes directorios:
WindowsAll UsersStart MenuProgramsStartUp
Documents and SettingsAll UsersStart MenuProgramsStartup
La situación en estos directorios le permite autoejecutarse de forma automática cuando se inicia el sistema, consiguiendo su infección.
Soab también intentaba descargar un troyano desde un servidor web, que copiaba en el directorio de Windows con el nombre de DWN.DAT y posteriormente ejecutaba. Si bien la página web que albergaba el troyano ha sido eliminada, por lo que las copias que se están distribuyendo en la actualidad no pueden llevar a cabo esta acción.
Como hemos visto se trata de un gusano muy simple que tiene sus días contados. Una sencilla regla de filtrado, tanto a nivel de servidor como cliente de correo, permite que podamos prevenirlo.
Bernardo Quintero
bernardo@hispasec.com
Noticias Hispasec
