病毒名称:
Worm.Sobig.f
类别: 蠕虫病毒
病毒资料:
破坏方法:
蠕虫“Worm.Sobig”新变种此病毒是病毒“大无极”新变种,VC++编写,Telock压缩;
1.此变种通过自己的SMTP引擎发送邮件传播,它发送Email包含如下信息:
主题一般为:
Re: Thank you!
Thank you!
Your details
Re: Details
Re: Re: My details
Re: Approved
Re: Your application
Re: Wicked screensaver
Re: That movie
附件名为:
your_document.pif
document_all.pif
thank_you.pif
your_details.pif
details.pif
document_9446.pif
application.pif
wicked_scr.scr
movie0045.pif
消息正文可能为:
Please see the attached file for details.
或
See the attached file for details
2.病毒将从下列扩展名的文件中搜索Email地址:
txt
eml
Html
htm
dbx
wab
3.病毒一旦运行,将复制自己到系统目录:
%WINDIR%\WINPPR32.EXE
其中%WINDIR%可能为c:\Windows或c:\winnt
病毒通过网络枚举本地局域网资源并试图将病毒文件复制到
系统的c$,d$,e$的Windows\All Users\Start Menu\Programs\StartUp
及Documents and Settings\All Users\Start Menu\Programs\Startup目录。
该病毒将使用端口8998/udp向其master发送一个探测报文,作为响应,master将返回一个URL,病毒能从此URL下载文件,master有两个,分别为:A.ROOT-SERVERS.NET或B.ROOT-SERVERS.NET病毒带有后门,将打开下列端口:
995/udp
996/udp
997/udp
998/udp
999/udp
它监听来自这些端口的UDP报文,并分析之,病毒用此来自动更新
4.病毒在2003年9月10日停止传播。
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run\TrayX
"%WINDIR%\winppr32.exe /sinc"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run\TrayX
"%WINDIR%\winppr32.exe /sinc"
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2003-8-20