Tão grande - Sobig
O worm Sobig foi um worm de computador que infectou milhões de computadores Microsoft Windows conectados à Internet em agosto de 2003.
Embora houvesse indicações de que os testes do worm foram realizados já em agosto de 2002, o Sobig.A foi encontrado pela primeira vez na natureza em janeiro de 2003. O Sobig.B foi lançado em 18 de maio de 2003. Foi inicialmente chamado de Palyh , mas foi mais tarde renomeado para Sobig.B depois que os especialistas em antivírus descobriram que era uma nova geração do Sobig. O Sobig.C foi lançado em 31 de maio e corrigiu o bug de tempo no Sobig.B. Sobig.D veio algumas semanas depois, seguido por Sobig.E em 25 de junho. Em 19 de agosto, Sobig.F se tornou conhecido e estabeleceu um recorde em volume absoluto de e-mails.
O worm foi mais difundido em sua variante "Sobig.F".
Em 2018, Sobig é o segundo worm de computador mais rápido a já ter entrado na selva, sendo superado apenas pelo Mydoom .
O Sobig não é apenas um worm de computador no sentido de que se replica sozinho, mas também um cavalo de Tróia , pois se disfarça como algo diferente de malware . O worm Sobig.F aparecerá como um correio eletrônico com um dos seguintes assuntos:
- Re: aprovado
- Re: Detalhes
- Re: Re: Meus detalhes
- Re: Obrigado!
- Re: esse filme
- Re: protetor de tela perverso
- Re: seu aplicativo
- Obrigada!
- Seus detalhes
Ele conterá o texto: "Consulte o arquivo em anexo para obter detalhes" ou "Consulte o arquivo em anexo para obter detalhes." Ele também contém um anexo com um dos seguintes nomes:
- application.pif
- details.pif
- document_9446.pif
- document_all.pif
- movie0045.pif
- thank_you.pif
- your_details.pif
- your_document.pif
- wicked_scr.scr
Detalhes técnicos
Os vírus Sobig infectam um computador host por meio do anexo mencionado acima. Quando isso for iniciado, eles replicarão usando seu próprio mecanismo de agente SMTP . Os endereços de e-mail que serão alvos do vírus são coletados de arquivos no computador host. As extensões de arquivo que serão pesquisadas para endereços de e-mail são:
- .dbx
- .eml
- .hlp
- .htm
- .html
- .mht
- .wab
- .TXT
A variante Sobig.F foi programada para contatar 20 endereços IP na porta UDP 8998 em 26 de agosto de 2003 para instalar algum programa ou atualizar-se. Não está claro o que era esse programa, mas versões anteriores do vírus tinham instalado o software de servidor proxy WinGate - um produto legítimo - em uma configuração que permite que seja usado como backdoor para spammers distribuírem e-mail não solicitado.
O worm Sobig foi escrito usando o compilador Microsoft Visual C ++ e, subsequentemente, compactado usando um programa de compactação de dados chamado tElock .
O worm Sobig.F se desativou em 10 de setembro de 2003. Em 5 de novembro do mesmo ano, a Microsoft anunciou que pagaria US $ 250.000 por informações que levassem à prisão do criador do worm Sobig. Até o momento, o autor do crime não foi capturado.