Az AVERT, a Network Associates vírusszakértői csoportja magasabb veszélyességi kategóriába sorolta át a W32/Sobig.c@MM vírust. A vírus a szakértők új közleménye szerint azért "közepesen veszélyes”, mert előfordulási gyakorisága megnőtt. A W32/Sobig.c@MM vírust május 31-én fedezték fel, és a június 1-én kiadott 4268 DAT fájl már tartalmazza a vírus felismeréséhez szükséges információt.

Mivel a Sobig.c féregvírus saját SMTP levelező komponenst is tartalmaz, e-mailen és helyi hálózaton keresztül is terjeszti magát. A gépen található WAB, DBX, HTM, HTML, EML és TXT fájlokból összegyűjtött e-mail címekre továbbküldi magát. Az érkező fertőzött e-mail az alábbi ismertetőjegyek alapján azonosítható:

Küldő: [email protected] (vagy bármilyen más feladó!)
Téma: (az alábbiak közül választ)

-Approved
-Re: 45443-343556
-Re: Application
-Re: Approved
-Re: Movie
-Re: Screensaver
-Re: Submited (004756-3463)
-Re: Your application

Csatolt állomány: (az alábbiak közül választ)

-45443.pif
-application.pif
-approved.pif
-document.pif
-documents.pif
-movie.pif
-screensaver.scr
-submited.pif

(Megjegyzés: az eredeti .PIF kiterjesztést egyes levelezőprogramok .PI –re rövidítik!)

Az e-mail szövege: Please see the attached file. A vírus működésbelépésekor az alábbi helyekre másolja magát:

1. \Documents and Settings\All Users\Start Menu\Programs\Startup\
2. \Windows\All Users\Start Menu\Programs\Startup\
3. Installation

Az alábbi fájlokat másolja a %windir% mappába: (ahol a %windir% mappa a Windows alapértelmezett mappája, pl.: C:\WINNT, C:\WINDOWS)

1. "mscvb32.exe" (~50kB) (a vírus másolata)
2. "msddr.dat" (konfigurációs fájl)

Létrehozza a következő Registry kulcsokat, amelyek a legközelebbi rendszerindításkor lépnek életbe:

1. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "System MScvb" = %WinDir%\mscvb32.exe

2. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "System MScvb" = %WinDir%\mscvb32.exe