I-Worm/Sober.d
病毒长度:33,792字节
病毒类型:网络蠕虫
影响平台:Win9X/2000/XP/NT/Me/2003
I-Worm/Sober.d是用VB语言编写并经过UPX压缩的网络蠕虫,利用自带的SMTP引擎将自身作为邮件附件进行传播。发送邮件的主题和正文都是变化的,一般是英文或德文文件。
病毒的传播过程和特征如下:
1.首先在系统目录下拷贝自身为<随机文件名>.exe,然后生成文件:temp32x.data,wintmpx33.dat,Humgly.lkur,
yfjq.yqwm ,zmndpgwf.kxx,mslog32.dll
2.修改注册表:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce下添加"<任意值>" = "%System%<随机文件名>.exe %1"键值
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun<随机文件名>下添加"<任意值>" = "%System%<<随机文件名>.exe"键值
注:<随机文件名>和<任意值>都是蠕虫构造的字符串
3.伪装成微软公司为MyDoom病毒开发的补丁软件,显示虚假的微软公司警告和错误信息:
**This patch has been successfully installed.
**This patch does not need to be installed on this system.
**Microsoft Windows
STOP: 0x80070725 {FatalSystemError}
System File [filename].exe
Connection lost or blocked by Firewall
4.在所有硬盘驱动器下有如下扩展名的文件中搜索Email地址,并保存到系统目录下的mslog32.dll文件里.
.abd .adb .asp .dbx .doc .eml .ini
.log .mdb .php .pl .rtf .shtml .tbb
.ttt .txt .wab .xls
5.邮件有如下特征:
发件人:<random sender>@microsoft.com
<random sender>从下列表中选择:
Info,Center,UpDate,News,Help,Studio,Alert,
Patch,Security
主题:<下列选一>
Microsoft Alert: Please Read! Message-ID: <[random characters].qmail@microsoft.com>
Microsoft Alarm: Bitte Lesen! Message-ID: <[random characters].qmail@microsoft.com>
附件:<随机名字><数字><.zip或.exe>
<随机名字>可能是Patch,MS-Security,MS-UD,UpDate,sys-patch,MS-Q
病毒还会避免向一些国内外杀毒厂商发送邮件。
