Sobig.F es un gusano de rápida difusión. Se propaga por correo electrónico, usando su propio motor SMTP, por lo que no necesita un cliente de correo como Outlook o Outlook Express. Se transmite también por recursos compartidos en redes de Microsoft.

Este gusano altera el Registro de Windows para activarse cada vez que se inicia el sistema. Abre los puertos del 995 al 999, y permanece a la espera de recibir órdenes de terceras personas, actuando así como un troyano. Cada hora ejecuta una rutina para conectarse a varias direcciones en Internet para descargar actualizaciones de sí mismo.

El gusano se autoenvía a las direcciones de correo que encuentra en los archivos de la máquina infectada que tengan las siguientes extensiones:
.dbx
.eml
.hlp
.htm
.html
.mht
.wab
.txt

Sobig.F puede alterar el nombre del remitente, por lo que el mensaje que lo contiene no proviene necesariamente de quien se indica, sino de alguna dirección almacenada en la máquina infectada.

El asunto del mensaje puede varias entre los siguientes:
Re: Details
Re: Approved
Re: Re: My details
Re: Thank you!
Re: That movie
Re: Wicked screensaver
Re: Your application
Thank you!
Your details

El cuerpo del mensaje puede ser:
See the attached file for details
Please see the attached file for details.

El archivo adjunto que contiene al virus puede ser uno de los siguientes:
your_document.pif
document_all.pif
thank_you.pif
your_details.pif
details.pif
document_9446.pif
application.pif
wicked_scr.scr
movie0045.pif

Este gusano está programado para desactivarse cuando la fecha del sistema es 10 de septiembre, 2003.

Cómo combatirlo

Antes de realizar alguno de los procedimientos para eliminar este gusano, desconecte la computadora de la red.

Symantec a puesto a disposición del público una herramienta para eliminar el Sobig.F. Puede encontrarse en la siguiente dirección:
http://securityresponse.symantec.com/avcenter/venc/data/w32.sobig.f@mm.removal.tool.html

Si se desea eliminar manualmente este gusano, se oprime el botón de Inicio (Start). Se elije la opción Ejecutar (Run) y en la ventana que se abre se escribe Regedit. Se oprime Aceptar (OK). Ésto abrirá el Editor de Registro.

En el panel de la izquierda se abre la siguiente ruta:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
Marque la carpeta Run para ver su contenido en el panel de la derecha. Aquí busque y elimine la siguiente entrada:
"TrayX"="%Windir%\winppr32.exe /sinc"

Nuevamente en el panel de la izquierda abra la siguiente ruta:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Marque la carpeta Run, y en el panel de la derecha busque y elimine la siguiente entrada:
"TrayX"="%Windir%\winppr32.exe /sinc".

Cierre el Editor de Registro y reinicie la computadora.

Cuando haya iniciado Windows, abra el Explorador de Windows, localice y elimine los siguientes archivos:
c:\windows\winppr32.exe
c:\windows\winstt32.dat
c:\windows\winstf32.dll

Haga clic con el botón derecho sobre el icono de "Papelera de reciclaje" en el escritorio y seleccione "Vaciar la papelera de reciclaje".

Elimine los mensajes de correo con las características descritas del mensaje por el que el gusano se propaga, y vacíe la papelera del cliente de correo.

(Nota: Los usuarios de Windows ME y XP deben seguir estas Instrucciones Adicionales)

Los virus más difundidos

Éstos son los virus más difundidos en el mundo en este momento, según datos de McAffee:

1. Redlof
2. Sobig.f
3. LoveLetter
4. Pate.b
5. Pate
6. Lovgate.f
7. Klez.h
8. Kwbot.worm
9. Nimda.eml
10. Exploit-ByteVerify