Sobig.f es un gusano que se circula por internet adjunto en mensajes de correo electrónico. El gusano Sobig.f también se propaga por redes locales a través de los recursos compartidos.
El gusano es un archivo Windows PE EXE escrito en Microsoft Visual C++ y comprimido mediante la utilidad TeLock. Su tamaño ronda los 70Kb una vez comprimido (TeLock), mientras que cuando está descomprimido su tamaño es de unos 100 KB.
El virus Sobig.f tan solo se activa cuando se abre el fichero adjunto. Una vez se ha ejecutado, se instala en el sistema y ejecuta sus rutinas para propagarse.
INFECCIÓN Y CARGA: Durante la instalación el gusano se copia en el directorio de windows bajo el nombre winppr32.exe y se inserta en el registro del sistema de autoarranque con la clave:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run TrayX = %WindowsDir%\winppr32.exe/sinc
HKLM\Software\Microsoft\Windows\CurrentVersion\Run TrayX = %WindowsDir%\winppr32.exe/sinc
El gusano envía paquetes UDP a direcciones IP aleatorias al puerto 8998 y espera comendos del ordenador principal. Los comandos contienen URLs desde los que Sobig.f descarga y ejecuta archivos. De esta forma el gusano es capaz de actualizarse e instalar otras aplicaciones (Troyanos, por ejemplo).
PROPAGACIÓN VÍA CORREO ELECTRÓNICO: Para conseguir direcciones de correo electrónico, el virus busca archivos con extensiones .TXT, .EML, .HTML, .HTM, .DBX, WAB, MHT y HLP en todos los directorios de todas las unidades locales, escanea buscando correos electrónicos y envia mensajes infectados a las direcciones que encuantra. Para enviar estos correos, el virus utiliza el servidor SMTP especificado en las propiedades del sistema.
