Sobig

Programa de malware autorreplicante

El gusano Sobig fue un gusano informático que infectó millones de computadoras Microsoft Windows conectadas a Internet en agosto de 2003. ^[1]

Aunque había indicios de que se habían llevado a cabo pruebas del gusano ya en agosto de 2002, Sobig.A se encontró por primera vez en la naturaleza en enero de 2003. Sobig.B se lanzó el 18 de mayo de 2003. Primero se llamó Palyh , pero luego se renombró como Sobig.B después de que los expertos en antivirus descubrieran que era una nueva generación de Sobig. Sobig.C se lanzó el 31 de mayo y corrigió el error de sincronización en Sobig.B. Sobig.D llegó un par de semanas después, seguido de Sobig.E el 25 de junio. El 19 de agosto, Sobig.F se hizo conocido y estableció un récord en volumen de correos electrónicos.

El gusano estaba más extendido en su variante "Sobig.F".

A partir de 2018 ^[actualizar], Sobig es el segundo gusano informático más rápido en aparecer, superado solo por Mydoom .

Sobig no sólo era un gusano informático en el sentido de que se replicaba a sí mismo, sino también un troyano en el sentido de que se hacía pasar por algo que no era malware . El gusano Sobig.F aparecía como un correo electrónico con uno de los siguientes asuntos:

• Re: Aprobado
• Re: Detalles
• Re: Re: Mis datos
• Re: ¡Gracias!
• Re: Esa pelicula
• Re: Salvapantallas malvado
• Re: Su solicitud
• ¡Gracias!
• Tus datos

Contendría el texto: "Consulte el archivo adjunto para obtener más detalles" o "Consulte el archivo adjunto para obtener más detalles", así como un archivo adjunto con uno de los siguientes nombres:

• aplicación.pif
• detalles.pif
• documento_9446.pif
• documento_todo.pif
• película0045.pif
• gracias.pif
• sus_detalles.pif
• su_documento.pif
• malvado_scr.scr

Detalles técnicos

Los virus Sobig infectaron un ordenador host a través del archivo adjunto mencionado anteriormente. Cuando se inicia, se replican utilizando su propio motor de agente SMTP . Las direcciones de correo electrónico que serán el objetivo del virus se obtienen de los archivos del ordenador host. Las extensiones de archivo que se buscarán para las direcciones de correo electrónico son:

• .dbx
• .eml
• .hlp
• .htm
• .html
• .mht
• .wab
• .TXT

La variante Sobig.F fue programada para contactar 20 direcciones IP en el puerto UDP 8998 el 26 de agosto de 2003 para instalar algún programa o actualizarse. No está claro cuál era este programa, pero las versiones anteriores del virus habían instalado el software de servidor proxy WinGate (un producto legítimo) en una configuración que permitía que se utilizara como puerta trasera para que los spammers distribuyeran correo electrónico no solicitado.

El gusano Sobig fue escrito utilizando el compilador Microsoft Visual C++ y posteriormente comprimido utilizando un programa de compresión de datos llamado tElock.

El gusano Sobig.F se desactivó el 10 de septiembre de 2003. El 5 de noviembre de ese mismo año, Microsoft anunció que pagaría 250.000 dólares por información que condujera al arresto del creador del gusano Sobig. Se atribuye a Ruslan Ibragimov ser el creador original del gusano, aunque esto no está confirmado.[1]

Referencias

1. "CNN.com - SoBig.F rompe récords de velocidad de virus - 22 de agosto de 2003". www.cnn.com . Consultado el 31 de julio de 2023 .

Véase también

• Cronología de los virus y gusanos informáticos más destacados