| 導購 | 订阅 | 在线投稿
分享
 
 
 

Worm.Sober.l

來源:互聯網  2008-08-14 22:23:58  評論

病毒名稱(中文):

病毒別名:

W32.Sober.L@mm[諾頓]WORM_SOBER.L[趨勢]

威脅級別:

★★☆☆☆

病毒類型:

蠕蟲病毒

病毒長度:

45222

影響系統:

Win9xWinNT

病毒行爲:

該病毒通過電子郵件傳播。會自動嘗試連接網絡,搜索感染機器的Email地址,並僞裝成發信失敗的信件,發送給找到的郵件地址,誘使收信用戶運行病毒郵件的附件。

1、病毒生成以下文件:

%SystemRoot%\msagent\system\smss.exe(病毒自身)

%ystemRoot%\msagent\system\zipzip.zab(病毒的BASE64編碼,用于發附件使用)

%ystemRoot%\msagent\system\emdata.mmx(病毒搜索到的郵件地址)

%System%\nonrunso.ber

%System%\xcvfpokd.tqa

%System%\stopruns.zhz

2、嘗試在注冊表中添加:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"Services.dll"="%SystemRoot%\msagent\system\smss.exe"

使得病毒能在每次計算機啓動時運行。

3、嘗試中止含有以下字符進程:

gcas

gcip

giantanti

stinger

hijackthis

4、在以下後綴名文件中搜索電子郵件地址:

.abc

.abd

.abx

.adb

.ade

.adp

.adr

.asp

.bak

.bas

.cfg

.cgi

.cls

.cms

.csv

.ctl

.dbx

.dhtm

.doc

.dsp

.dsw

.eml

.fdb

.frm

.hlp

.imb

.imh

.imh

.imm

.inbox

.ini

.jsp

.ldb

.ldif

.log

.mbx

.mda

.mdb

.mde

.mdw

.mdx

.mht

.mmf

.msg

.nab

.nch

.nfo

.nsf

.nws

.ods

.oft

.php

.phtm

.pl

.pmr

.pp

.ppt

.pst

.rtf

.shtml

.slk

.sln

.stm

.tbb

.txt

.uin

.vap

.vbs

.vcf

.wab

.wsh

.xhtml

.xls

.xml

5、過濾含有以下字符的電子郵件地址,以減緩反病毒公司獲得樣本的時間:

-dav

.dial.

.kundenserver.

.ppp.

.qmail@

.sul.t-

@arin

@avp

@ca.

@example.

@foo.

@from.

@gmetref

@iana

@ikarus.

@kaspers

@messagelab

@nai.

@panda

@smtp.

@sophos

@www

abuse

announce

antivir

anyone

anywhere

bellcore.

bitdefender

clock

detection

domain.

emsisoft

ewido.

free-av

freeav

ftp.

gold-certs

google

host.

icrosoft.

ipt.aol

law2

linux

mailer-daemon

mozilla

mustermann@

nlpmail01.

noreply

nothing

ntp-

ntp.

ntp@

office

password

postmas

reciver@

secure

service

smtp-

somebody

someone

spybot

sql.

subscribe

support

t-dialin

t-ipconnect

test@

time

user@

variabel

verizon.

viren

virus

whatever@

whoever@

winrar

winzip

you@

yourname

6、向找到的地址發送如下形式的附件:

英文:

主題:

YourPassword&Accountnumber

內容:

hi,

i"vegotanadminmailwithaPasswordandAccountinfo!

butthemailrecipientareyou!it"sprobablyanesmtperror,ithink.

i"vecopiedthefullmailtextintheWindowstext-editor&zipped.

ok,cya...

附件名:

acc_text.zip

德文:

主題:

IchhabeIhreE-Mailbekommen!

內容:

Hallo,

jemandschicktihreprivatenMailsaufmeinemAccount.

Ichschaetzemal,daseseinFehlervomProviderist.

Insgesamtwarenesjetztschon6Mails!

IchhabealleMail-TexteimTexteditorkopiertundgezippt.

WennesdochkeinFehlervomProviderist,sorgedafuerdasdieseDingernichtmehraufmeinemAccountlanden,esNervtnaemlich.

Gruss

附件名:

MailTexte.zip

病毒名稱(中文): 病毒別名: W32.Sober.L@mm[諾頓]WORM_SOBER.L[趨勢] 威脅級別: ★★☆☆☆ 病毒類型: 蠕蟲病毒 病毒長度: 45222 影響系統: Win9xWinNT 病毒行爲: 該病毒通過電子郵件傳播。會自動嘗試連接網絡,搜索感染機器的Email地址,並僞裝成發信失敗的信件,發送給找到的郵件地址,誘使收信用戶運行病毒郵件的附件。 1、病毒生成以下文件: %SystemRoot%\msagent\system\smss.exe(病毒自身) %ystemRoot%\msagent\system\zipzip.zab(病毒的BASE64編碼,用于發附件使用) %ystemRoot%\msagent\system\emdata.mmx(病毒搜索到的郵件地址) %System%\nonrunso.ber %System%\xcvfpokd.tqa %System%\stopruns.zhz 2、嘗試在注冊表中添加: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Services.dll"="%SystemRoot%\msagent\system\smss.exe" 使得病毒能在每次計算機啓動時運行。 3、嘗試中止含有以下字符進程: gcas gcip giantanti stinger hijackthis 4、在以下後綴名文件中搜索電子郵件地址: .abc .abd .abx .adb .ade .adp .adr .asp .bak .bas .cfg .cgi .cls .cms .csv .ctl .dbx .dhtm .doc .dsp .dsw .eml .fdb .frm .hlp .imb .imh .imh .imm .inbox .ini .jsp .ldb .ldif .log .mbx .mda .mdb .mde .mdw .mdx .mht .mmf .msg .nab .nch .nfo .nsf .nws .ods .oft .php .phtm .pl .pmr .pp .ppt .pst .rtf .shtml .slk .sln .stm .tbb .txt .uin .vap .vbs .vcf .wab .wsh .xhtml .xls .xml 5、過濾含有以下字符的電子郵件地址,以減緩反病毒公司獲得樣本的時間: -dav .dial. .kundenserver. .ppp. .qmail@ .sul.t- @arin @avp @ca. @example. @foo. @from. @gmetref @iana @ikarus. @kaspers @messagelab @nai. @panda @smtp. @sophos @www abuse announce antivir anyone anywhere bellcore. bitdefender clock detection domain. emsisoft ewido. free-av freeav ftp. gold-certs google host. icrosoft. ipt.aol law2 linux mailer-daemon mozilla mustermann@ nlpmail01. noreply nothing ntp- ntp. ntp@ office password postmas reciver@ secure service smtp- somebody someone spybot sql. subscribe support t-dialin t-ipconnect test@ time user@ variabel verizon. viren virus whatever@ whoever@ winrar winzip you@ yourname 6、向找到的地址發送如下形式的附件: 英文: 主題: YourPassword&Accountnumber 內容: hi, i"vegotanadminmailwithaPasswordandAccountinfo! butthemailrecipientareyou!it"sprobablyanesmtperror,ithink. i"vecopiedthefullmailtextintheWindowstext-editor&zipped. ok,cya... 附件名: acc_text.zip 德文: 主題: IchhabeIhreE-Mailbekommen! 內容: Hallo, jemandschicktihreprivatenMailsaufmeinemAccount. Ichschaetzemal,daseseinFehlervomProviderist. Insgesamtwarenesjetztschon6Mails! IchhabealleMail-TexteimTexteditorkopiertundgezippt. WennesdochkeinFehlervomProviderist,sorgedafuerdasdieseDingernichtmehraufmeinemAccountlanden,esNervtnaemlich. Gruss 附件名: MailTexte.zip
󰈣󰈤
王朝萬家燈火計劃
期待原創作者加盟
 
 
 
>>返回首頁<<
 
 
 
 
 熱帖排行
 
 
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有