Worm.Sobig.f

病毒名称:

Worm.Sobig.f

类别： 蠕虫病毒

病毒资料：

破坏方法：

蠕虫“Worm.Sobig”新变种此病毒是病毒“大无极”新变种，VC＋＋编写，Telock压缩；

1.此变种通过自己的SMTP引擎发送邮件传播，它发送Email包含如下信息：

主题一般为：

Re: Thank you!

Thank you!

Your details

Re: Details

Re: Re: My details

Re: Approved

Re: Your application

Re: Wicked screensaver

Re: That movie

附件名为：

your_document.pif

document_all.pif

thank_you.pif

your_details.pif

details.pif

document_9446.pif

application.pif

wicked_scr.scr

movie0045.pif

消息正文可能为：

Please see the attached file for details.

或

See the attached file for details

2.病毒将从下列扩展名的文件中搜索Email地址：

txt

eml

Html

htm

dbx

wab

3.病毒一旦运行，将复制自己到系统目录：

％WINDIR％\WINPPR32.EXE

其中％WINDIR％可能为c:\Windows或c:\winnt

病毒通过网络枚举本地局域网资源并试图将病毒文件复制到

系统的c$,d$,e$的Windows\All Users\Start Menu\Programs\StartUp

及Documents and Settings\All Users\Start Menu\Programs\Startup目录。

该病毒将使用端口8998/udp向其master发送一个探测报文，作为响应，master将返回一个URL，病毒能从此URL下载文件，master有两个，分别为：A.ROOT-SERVERS.NET或B.ROOT-SERVERS.NET病毒带有后门，将打开下列端口：

995/udp

996/udp

997/udp

998/udp

999/udp

它监听来自这些端口的UDP报文，并分析之，病毒用此来自动更新

4.病毒在2003年9月10日停止传播。

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion

\Run\TrayX

"％WINDIR％\winppr32.exe /sinc"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion

\Run\TrayX

"％WINDIR％\winppr32.exe /sinc"

病毒的清除法：

使用光华反病毒软件，彻底删除。

病毒演示：

病毒FAQ：

Windows下的PE病毒。

发现日期：

2003-8-20

• ·Worm.Blaster.c
• ·Worm.RPC.Zerg.c
• ·Worm.RPC.Zerg.a
• ·Worm.RPC.Zerg
• ·Worm.Blaster.a
• ·Worm.Welchia
• ·Worm.RPC.Sdbot.dll
• ·Worm.Roron.55.f
• ·Worm.Colevo.b
• ·Harm.LaoRenShen.3.031