病毒名称:I-Worm/Sober.j
病毒长度:59,747
病毒类型:网络蠕虫
危害等级:**
影响平台:Win9X/2000/XP/NT/Me
I-Worm/Sober.j是经UPX压缩的邮件群发病毒。邮件名及邮件内容以德文居多,且邮件名带有一定的引诱性。当收件人打开附件时,会跳出一个虚假的错误报告激活病毒。
传播过程及特征:
1、以随机文件名将自己复制到系统目录下。
2、在系统目录下两次创建文件。当一个文件被删除时,另一个文件会继续创建,以达到无法被轻易删除的目的。
3、在注册表
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce
下添加键值
"<所创建的随机文件名>" = "%System%<所创建的随机文件名>.exe %1"
以达到开机自启的目的。
4、利用特定域名服务器获取微软、雅虎、google、hotmail等网站的IP地址。然后利用系统默认的域名服务器大量发送携带病毒的邮件。
5、搜索被感染计算机上的邮件地址并进行选择,以避开向反病毒站点等发送邮件。
6、利用自带的SMTP引擎向搜索到的有效地址发送携带病毒的邮件。
7、邮件附件一般以.bat .com .pif .scr .zip为扩展名。