A vírus az éjjel kiadott új közlemény szerint az egyre fokozódó gyakorisága miatt “nagyon veszélyes” az otthoni felhasználók számára. A W32/Sobig.f@MM vírust augusztus 19-én fedezték fel, de már a korábbi, 4287-es DAT fájlok tartalmazzák a vírus új variánsának proaktív felismeréséhez szükséges információt.
Hasonlóan az eddigi W32/Sobig variánsokhoz, a vírus saját SMTP levelező komponenst is tartalmaz, e-mailen és helyi hálózaton keresztül is terjeszti magát ZIP formátumban. A féreg gépen található fájlokból összegyűjtött e-mail címekre küldi magát tovább. Az érkező fertőzött e-mail az alábbi ismertetőjegyek alapján azonosítható:
– Az e-mail szövege: “Please see the attached file for details”
– Csatolt állomány lehet: your_document.pif, document_all.pif, thank_you.pif , your_details.pif, details.pif, application.pif, wicked_scr.scr, movie0045.pif
– Küldő: a látszólagos küldő valószínűleg nem a valódi forrás.
– A tárgysor lehet: Re: Thank you!, Re: Details, Re: Re: My details, Re: Approved, Re: Your application, Re: Wicked screensaver, Re: That movie
– Mivel a vírus véletlenszerű méretű adattörmeléket is tartalmaz, a mérete változó!
A féreg megkísérel kapcsolatba lépni távoli NTP szerverekkel, amelyek IP címeit a vírus tartalmazza, és NTP csomagokat küld a 123-as port-ra.
2003 szeptember 10-e után a vírus felfüggeszti tevékenységét.
További információ az AVERT javaslatairól és a kockázatfelmérésről: http://www.mcafeeb2b.com/naicommon/avert/virus-alerts/avert-risk-assessment.asp
