Worm.Sober.i

病毒名称(中文):

病毒别名:

威胁级别:

★★★☆☆

病毒类型:

蠕虫病毒

病毒长度:

56808

影响系统:

Win9xWinNT

病毒行为:

该病毒通过电子邮件进行传播，病毒运行时，会弹出“WinZip_Data_Moduleismissing~Error:{2A0DCCF6}”对话框迷惑用户，病毒会搜索感染机器的电子邮件，然后发送大量病毒信件，可能会造成严重的网络堵塞。

1、在系统目录中生成如下文件：

%System%\clonzips.ssc（Base64编码）

%System%\zippedsr.piz（Base64编码）

%System%\clsobern.isc（Base64编码）

%System%\nonzipsr.noz（Base64编码）

%System%\%Rand1%.exe（病毒本身）

%System%\%Rand2%.exe（病毒本身）

2、在注册表中添加如下键值：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

%Rand3%="%System%\%Rand1%.exe"

%Rand4%="%System%\%Rand2%.exe%srun%"

3、病毒运行后，会弹出一个对话框，写有如下字符串：

“WinZip_Data_Moduleismissing~Error:{2A0DCCF6}”

4、病毒会从以下扩展名文件中搜索电子邮件地址

abc

abd

abx

adb

ade

adp

adr

aero

asp

bak

bas

cfg

cgi

cls

cms

com

coop

csv

ctl

dbx

dhtm

doc

dsp

dsw

edu

eml

fdb

frm

gov

hlp

imb

imh

imh

imm

inbox

info

ini

jsp

ldb

ldif

log

mbx

mda

mdb

mde

mdw

mdx

mht

mmf

msg

museum

nab

name

nch

net

nfo

nsf

nws

ods

oft

org

php

pl

pmr

pp

ppt

pro

pst

rtf

shtml

slk

sln

stm

tbb

txt

uin

vap

vbs

vcf

wab

wsh

xhtml

xls

xml

5、病毒会过滤含有以下字符的电子邮件：

.dial.

.kundenserver.

.ppp.

.qmail@

.sul.t-

@arin

@avp

@ca.

@example.

@foo.

@from.

@gmetref

@iana

@ikarus.

@kaspers

@messagelab

@msn

@nai.

@panda

@smtp.

@sophos

@spiegel.

@www

abuse

announce

antivir

anyone

anywhere

bellcore.

bitdefender

clock

-dav

detection

domain.

emsisoft

ewido.

freeav

free-av

ftp.

gold-certs

google

host.

icrosoft.

ipt.aol

law2

linux

mailer-daemon

me@

mozilla

msdn.

mustermann@

nlpmail01.

noreply

nothing

ntp-

ntp@

office

password

postmas

reciver@

redaktion

secure

service

smtp-

somebody

someone

spybot

sql.

subscribe

support

t-dialin

time

t-ipconnect

user@

variabel

verizon.

viren

virus

whatever@

whoever@

winrar

winzip

you@

yourname

6、病毒发送邮件可能为以下之一（英文或德文）：

主题：

hithere

heydude!

wazzup!!!

yeahdude:P

Details

OhGodit"s

damn!

Registrationconfirmation

Confirmation

YourPassword

Yourmailaccount

Deliveryfailurenotice

Faultymaildelivery

Maildeliveryfailed

MailingError

IllegalsignsinE-Mail

Invalidmaillength

MailDeliveryfailure

maildeliverystatus

Warning!

errorindbase

DBaseError

ups,i"vegotyourmail

Sorry,that"syourmail

whydoyoudothat?

Life"saBitch

SmilingLikeaKiller

lol,wat"nlosey?

Informationvon

FalscheMailzustellung

FehlerinIhrerE-Mail

IhreE-Mailwarfehlerhaft

ESMTPError

UngültigeVariableninihrerE-Mail

Verbindungwurdegetrennt

Mail_Fehler

IhrneuerAccount

NeueAccountDaten

Siehabennichtgezahlt

Rechnung

Hi,seivorsichtig!

Achtung!gefährlicherVirus!

Schongehört?

DieTools!

DeinZeug"s!

Hierfürdich^^

BestellungsBestätigung

Lieferungs-Bestätigung

Ok,hieristmein

Ichhabemichindichv

7、内容为以下的组合：

Iwassurprised,too!

Who_could_suspect_something_like_that?shityiiiii

Yourpasswordwaschangedsuccessfully!

Protectedmessageisattached!

_delivery_error

_does_not_like_

_failed_after_I_sent_the_message

_Requested_action_not_taken

Anti_Virus:NoViruswasfound

Attachment:NoVirusfound

disabled

discontinued

Giving_up_on_

Mail_Scanner:NoVirus

MAILBOXNOTFOUND

mailbox_unavailable

recipient.

Remote_host_said:

sender.

This_account_has_been_

DieseInformationistgesch

DaSieunsIhrePers

VielVergn

****

ImI-Netunter:http://www.%damin%

DieseInformationistgeschütztdurcheinPasswort!

DaSieunsIhrePersönlichenDatenzugesandthaben,istdasPasswortIhrGeburts-Datum.

VielVergnügenmitunseremAngebot!

****

ImI-Netunter:http://www.%damin%

FolgendeFehlerwurdenaufgezeichnet:

STOPmailer

AusDatenschutzrechtlichenGründen,darfdievollständigeE-Mailincl.Datennurangehängtwerden.

WirbittenSie,dieseszuberücksichtigen.

Automatic-Mail.Config#:

GutenTag,

daunsereDatenbankenleiderdurcheinenProgrammFehlerzerstörtwurden,musstenwirleidereineÄnderungbezüglichIhrerNutzungs-Datenvornehmen.IhregeändertenAccountDaten,befindenSieimbeigefügtenDokument.

VielenDankfürIhrVerständnis.

*-*-*Mail_Scanner:NoVirus

*-*-*%damin%-Anti_VirusService

*-*-*http://www.%damin%

++++++User-Service:http://www.%damin%

++++++MailTo:postmaster%damin%

------<>GmbH&Co.KG

------Send-To:Home-Service@.com

------www.%damin%

*-*-*X-MS_Scanner:KeinViruserkannt

*-*-*Attachment-Scanner:NOVIRUS

*-*-*Anti_Virus:EswurdekeinVirusgefunden

*-*-*<域名>-Anti_VirusService

*-*-*http://www.%damin%

8、附件名可能为以下之一:

%damin%

auto__mail

im_shocked

mail

oh_nono

re_mail

thats_hard

9、扩展名可能为以下之一:

bat

com

doc

eml

exe

pif

scr

txt

word

xls

zip

10、该蠕虫用VB编写