Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Varoitukset > 2003 > CERT-FI varoitus 53/2003

CERT-FI varoitus 53/2003

19.8.2003

Sobig.F-haittaohjelma leviää aktiivisesti

Sobig-haittaohjelman uusi variantti, Sobig.F, leviää erittäin aktiivisesti. Ensimmäiset Sobig.F-variantit havaittiin elokuun 19. päivänä. Sobig.F leviää sähköpostin välityksellä ja sisältää liitetiedoston, jonka koko on 70 KB. Haittaohjelma saastuttaa haavoittuvan tietojärjestelmän, kun liitetiedosto aktivoidaan. Mato lopettaa leviämisen 10. päivänä syyskuuta.

Sobig.F -haittaohjelma yrittää ladata tietyistä osoitteista lisää ohjelmakoodia joka perjantai ja sunnuntai kolmen tunnin ajan alkaen kello 22:00 Suomen aikaa. Lataustoiminto aktivoituu ensimmäisen kerran 22.8.

Haittaohjelma leviää käyttäen saastuneesta tietojärjestelmästä saatuja sähköpostiosoitteita, joten haittaohjelman sisältämien sähköpostin lähettäjätiedot eivät pidä paikkaansa.

Haittaohjelma asentaa itsensä:

%windir%\winppr32.exe -nimiseksi tiedostoksi

Mato lisää seuraavat tietueet kohdetietojärjestelmän rekisteriin:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\TrayX
= <Windows folder>\winppr32.exe /sinc

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\TrayX
= <Windows folder<\winppr32.exe /sinc

Sobig.F-madon sisältämissä sähköpostiviesteissä esiintyy seuraavia otsikkoja:

Re: Thank you!
Thank you!
Your details
Re: Details
Re: Re My details
Re: Approved
Re: Your application
Re: Wicked screensaver
Re: That movie

Sobig.F-haittaohjelman sisältämissä sähköposteissa esiintyy seuraavia sisältötietoja:

See the attached file for details
Please see the attached file for details

Sobig.F-haittaohjelman sisältämissä sähköpostin liitetiedoissa esiintyy seuraavia liitetiedostonimiä:

your_document.pif
document_all.pif
thank_you.pif
your_details.pif
details.pif
document_9446.pif
application.pif
wicked_scr.pif
movie0045.pif

VAROITUKSEN KOHDERYHMÄ:

  • Windows-käyttöjärjestelmällä varustetut tietojärjestelmät

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

  • Suojaa tietojärjestelmä virustorjuntaohjelmistolla ja huolehdi virustunnistustietokannan päivityksestä

  • Älä avaa sähköpostin liitetiedostoja ilman virustarkastusta

  • Tuhoa välittömästi Sobig.F-haittaohjelman sisältämät sähköpostit

LISÄTIETOA:

http://www.f-secure.com/v-descs/sobig_f.shtml

http://securityresponse.symantec.com/avcenter/venc/data/w32.sobig.f@mm.html

http://www.norman.com/virus_info/w32_sobig_f_mm.shtml

http://www.sophos.com/virusinfo/analyses/w32sobigf.html

VERSIOHISTORIA:

19.8.2003 Ensimmäinen versio julkaistu

22.8.2003 Toinen versio julkaistu: Lisätty tieto madon ohjelmakoodin
lataustoiminnosta

PÄIVITYSHISTORIA:

19.08.2003: Julkaistu
22.08.2003: Päivitetty
Sivua päivitetty 30.11.2006   Tulostusversio Tulostusversio