I-Worm/Sober.d

I-Worm/Sober.d

病毒长度：33,792字节

病毒类型：网络蠕虫

影响平台：Win9X/2000/XP/NT/Me/2003

I-Worm/Sober.d是用VB语言编写并经过UPX压缩的网络蠕虫，利用自带的SMTP引擎将自身作为邮件附件进行传播。发送邮件的主题和正文都是变化的，一般是英文或德文文件。

病毒的传播过程和特征如下：

1.首先在系统目录下拷贝自身为<随机文件名>.exe，然后生成文件：temp32x.data，wintmpx33.dat，Humgly.lkur，

yfjq.yqwm ，zmndpgwf.kxx，mslog32.dll

2.修改注册表：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce下添加"<任意值>" = "%System%<随机文件名>.exe %1"键值

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun<随机文件名>下添加"<任意值>" = "%System%<<随机文件名>.exe"键值

注：<随机文件名>和<任意值>都是蠕虫构造的字符串

3.伪装成微软公司为MyDoom病毒开发的补丁软件，显示虚假的微软公司警告和错误信息:

**This patch has been successfully installed.

**This patch does not need to be installed on this system.

**Microsoft Windows

STOP: 0x80070725 {FatalSystemError}

System File [filename].exe

Connection lost or blocked by Firewall

4.在所有硬盘驱动器下有如下扩展名的文件中搜索Email地址，并保存到系统目录下的mslog32.dll文件里.

.abd .adb .asp .dbx .doc .eml .ini

.log .mdb .php .pl .rtf .shtml .tbb

.ttt .txt .wab .xls

5.邮件有如下特征：

发件人：<random sender>@microsoft.com

<random sender>从下列表中选择：

Info，Center，UpDate，News，Help，Studio，Alert，

Patch，Security

主题：<下列选一>

Microsoft Alert: Please Read! Message-ID: <[random characters].qmail@microsoft.com>

Microsoft Alarm: Bitte Lesen! Message-ID: <[random characters].qmail@microsoft.com>

附件：<随机名字><数字><.zip或.exe>

<随机名字>可能是Patch,MS-Security,MS-UD,UpDate,sys-patch,MS-Q

病毒还会避免向一些国内外杀毒厂商发送邮件。