Uwaga: Wirus Sobig

Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego o następujących parametrach:

Temat: [jeden z poniższych]

Re: That movie

Re: Wicked screensaver

Re: Your application

Re: Approved

Re: Re: My details

Re: Details

Your details

Thank you!

Treść: [jedna z poniższych]

Please see the attached file for details.

See the attached file for details

Załącznik: [jeden z poniższych]

movie0045.pif

wicked_scr.scr

application.pif

document_9446.pif

details.pif

your_details.pif

thank_you.pif

document_all.pif

your_document.pif

Adres nadawcy zainfekowanej wiadomości wybierany jest losowo przez robaka,

podobnie jak adres odbiorcy. Zatem otrzymanie listu z robakiem nie oznacza

bynajmniej, że adres znajdujący się w polu nadawcy należy do zainfekowanego

użytkownika.

Wirus ma 72 KB. Po uruchomieniu przez użytkownika pliku załącznika robak tworzy na dysku

swoją kopię w pliku winppr32.exe oraz tak modyfikuje Rejestr, by kopia

"szkodnika" była uruchamiana przy każdym starcie systemu Windows.

W kolejnym etapie swego działania robak rozprzestrzenia się w sieci

lokalnej, starając się stworzyć swoje kopie na innych komputerach w

następujących katalogach, jeżeli są dostępne do zapisu:

C:\Windows\All Users\Start Menu\Programs\StartUp

C:\Documents and Settings\All Users\Start Menu\Programs\Startup

Na koniec robak rozsyła własne kopie za pomocą poczty elektronicznej do

wszystkich adresatów znalezionych w plikach z rozszerzeniami WAB, DBX, HTM,

HTML, EML i TXT.