病毒名称:
W32.Sober.X@mm
类别: 邮件病毒
病毒资料:
该病毒长度 55,390 字节,感染 windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系统,它使用自带的 SMTP 引擎传播,将病毒本身作为附件,发送到从被感染计算机中收集到的邮件地址,邮件具有英文、德语两种语言,当收到、打开此病毒时,有以下危害:
A 显示信息提示
标题: WinZip Self-Extractor
内容: Error: CRC not complete
B 复制自身到WINDOWS目录的csrss.exe 、WinSecurity\services.exe 、WinSecurity\smss.exe
C 创建文件WinSecurity\socket1.ifo到WINDOWS目录,这是个使用 MIME 编码,具有.zip扩展名的文件,内容是病毒自身
D 创建以下文件到WINDOWS目录
WinSecurity\mssock1.dli
WinSecurity\mssock2.dli
WinSecurity\mssock3.dli
WinSecurity\winmem1.ory
WinSecurity\winmem2.ory
WinSecurity\winmem3.ory
WinSecurity\sysonce.tst
WinSecurity\starter.run
WinSecurity\nexttroj.tro
E 创建以下文件到系统目录
bbvmwxxf.hml
langeinf.lin
nonrunso.ber
rubezahl.rub
F 增加注册表项"_Windows" = "%Windir%\WinSecurity\services.exe"到注册表的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
使得病毒每次开机后自动执行
G 检查网络连接,从以下NTP服务器中获取日期
Rolex.PeachNet.edu
clock.psu.edu
cUCkoo.nevada.edu
gandalf.theunixman.com
nist1.datum.com
ntp-1.ece.cmu.edu
ntp-2.ece.cmu.edu
ntp-sop.inria.fr
ntp.lth.se
ntp.massayonet.com.br
ntp.metas.ch
ntp.pads.ufrj.br
ntp0.cornell.edu
ntp1.arnes.si
ntp1.theremailer.net
ntp2.ien.it
ntp2b.mcc.ac.uk
ntp2c.mcc.ac.uk
ntp3.fau.de
ntps1-1.uni-erlangen.de
ptBTime2.ptb.de
rolex.usg.edu
st.ntp.carnet.hr
sundial.columbia.edu
swisstime.ethz.ch
tick.greyware.com
time-a.timefreq.bldrdoc.gov
time-ext.missouri.edu
time.chu.nrc.ca
time.ien.it
time.kfki.hu
time.mit.edu
time.nist.gov
time.nrc.ca
time.windows.com
time.xmission.com
timelord.uregina.ca
tock.keso.fi
utcnist.colorado.edu
vega.cbk.poznan.pl
H 从以下扩展名的文件中收集邮件地址
.abc
.abd
.abx
.adb
.ade
.adp
.adr
.ASP
.bak
.bas
.cfg
.cgi
.cls
.cms
.csv
.ctl
.dbx
.dhtm
.doc
.dsp
.dsw
.eml
.fdb
.frm
.hlp
.imb
.imh
.imh
.imm
.inbox
.ini
.jsp
.ldb
.ldif
.log
.mbx
.mda
.mdb
.mde
.mdw
.mdx
.mht
.mmf
.msg
.nab
.nch
.nfo
.nsf
.nws
.ods
.oft
.PHP
.phtm
.pl
.pmr
.pp
.ppt
.pst
.rtf
.sHtml
.slk
.sln
.stm
.tbb
.txt
.uin
.vap
.vbs
.vcf
.wab
.wsh
.xhtml
.xls
.XML
I 排除掉含有以下内容的邮件地址
-dav
.dial.
.kundenserver.
.ppp.
.qmail@
.sul.t-
@arin
@avp
@ca.
@example.
@foo.
@from.
@gmetref
@iana
@ikarus.
@kaspers
@messagelab
@nai.
@panda
@smtp.
@sophos
@www
abuse
announce
antivir
anyone
anywhere
bellcore.
bitdefender
clock
detection
domain.
emsisoft
ewido.
free-av
freeav
FTP.
gold-certs
host.
icrosoft.
ipt.aol
law2
Linux
mailer-daemon
mozilla
mustermann@
nlpmail01.
noreply
nothing
ntp-
ntp.
ntp@
Office
passWord
postmas
reciver@
secure
service
smtp-
somebody
someone
spybot
sql.
subscribe
support
t-dialin
t-ipconnect
test@
time
user@
variabel
verizon.
viren
virus
whatever@
whoever@
WinRAR
winzip
you@
yourname
J 发送自身到收集到的邮件地址,邮件具有英文、德语两种语言
德语的邮件为
发件人: [SPOOFED]
主题以下之一:
Ihr Passwort
Account Information
SMTP Mail gescheitert
Mailzustellung wurde unterbrochen
Ermittlungsverfahren wurde eingeleitet
Sie besitzen Raubkopien
RTL: Wer wird Millionaer
Sehr geehrter Ebay-Kunde
内容以下之一:
Bei uns wurde ein neues Benutzerkonto mit dem Namen beantragt.
Um das Konto einzurichten, benoetigen wir eine Bestaetigung, dass die bei der Anmeldung angegebene e-Mail-Adresse stimmt.
Bitte senden Sie zur Bestaetigung den ausgefuellten Anhang an uns zurueck.
Wir richten Ihr Benutzerkonto gleich nach Einlangen der Bestaetigung ein und verstaendigen Sie dann per e-Mail, sobald Sie Ihr Konto benutzen koennen.
Vielen Dank,
Ihr Ebay-Team
Aktenzeichen NR.:#
(siehe Anhang)
Hochachtungsvoll
i.A. Juergen Stock
--- Bundeskriminalamt BKA
--- Referat LS 2
--- 65173 Wiesbaden
--- Tel.: +49 (0)611 - 55 - 12331 oder
--- Tel.: +49 (0)611 - 55 - 0
Glueckwunsch: Bei unserer EMail Auslosung hatten Sie und weitere neun Kandidaten Glueck.
Sie sitzen demnaechst bei Guenther Jauch im Studio!
Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.
+++ RTL interactive GmbH
+++ Geschaeftsfuehrung: Dr. Constantin Lange
+++ Am Coloneum 1
+++ 50829 Koeln
+++ Fon: +49(0) 221-780 0 oder
+++ Fon: +49 (0) 180 5 44 66 99
附件以下之一:
[字符串1].zip
[字符串1]-TextInfo.zip
Email.zip
Email_text.zip
[字符串2].zip
Akte[字符串2].zip
[字符串3].zip
[字符串3]_Text.zip
Ebay.zip
Ebay-User_RegC.zip
其中的[字符串1]为以下之一:
Service
Webmaster
Postman
Info
Hostmaster
Postmaster
Admin
其中的[字符串2]为以下之一:
Downloads
BKA
Internet
Post
Anzeige
BKA.Bund
其中的[字符串3]为以下之一:
Kandidat
WWM
Auslosung
Casting
Gewinn
Info
RTL-Admin
RTL
Webmaster
RTL-TV
英语邮件为
发件人: [SPOOFED]
主题为以下之一:
Your Password
Registration Confirmation
smtp mail failed
Mail delivery failed
hi, ive a new mail address
You visit illegal websites
Your IP was logged
Paris Hilton & Nicole Richie
内容为以下之一:
***** Go to: http://www.[DOMAIN NAME OF SENDER]
***** Email: postman
hey its me, my old address dont work at time. i dont know why?!
in the last days ive got some mails. i' think thaz your mails but im not sure!
plz read and check ...
cyaaaaaaa
Please answer our questions!
Steven Allison
Department Office Admin Mail Post
===dkX XbW6dxPbXWPdSDd@R2XL9)CW9)SRd?kx@?
===dt4OduXRRL062WR)Wd.2XRPX,dKa,dnSS1d4vvy
*** Washington, DC 20535
++++ Central Intelligence Agency -CIA-
++++ Office of Public Affairs
++++ Washington, D.C. 20505
++++ phone: (703) 482-0623
++++ 7:00 a.m. to 5:00 p.m., US Eastern time
The Simple Life:
View Paris Hilton & Nicole Richie video clips , pictures & more ;)
Download is free until Jan, 2006!
Please use our Download manager.
附件名为以下之一:
reg_pass.zip
reg_pass-data.zip
mail.zip
mail_body.zip
mailtext.zip
list[随机字符].zip
question_list[随机字符].zip
downloadm.zip
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2005-11-21