Worm.Sober.l

病毒名称(中文):

病毒别名:

W32.Sober.L@mm［诺顿］WORM_SOBER.L［趋势］

威胁级别:

★★☆☆☆

病毒类型:

蠕虫病毒

病毒长度:

45222

影响系统:

Win9xWinNT

病毒行为:

该病毒通过电子邮件传播。会自动尝试连接网络，搜索感染机器的Email地址，并伪装成发信失败的信件，发送给找到的邮件地址，诱使收信用户运行病毒邮件的附件。

1、病毒生成以下文件：

%SystemRoot%\msagent\system\smss.exe（病毒自身）

%ystemRoot%\msagent\system\zipzip.zab（病毒的BASE64编码，用于发附件使用）

%ystemRoot%\msagent\system\emdata.mmx（病毒搜索到的邮件地址）

%System%\nonrunso.ber

%System%\xcvfpokd.tqa

%System%\stopruns.zhz

2、尝试在注册表中添加：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"Services.dll"="%SystemRoot%\msagent\system\smss.exe"

使得病毒能在每次计算机启动时运行。

3、尝试中止含有以下字符进程：

gcas

gcip

giantanti

stinger

hijackthis

4、在以下后缀名文件中搜索电子邮件地址：

.abc

.abd

.abx

.adb

.ade

.adp

.adr

.asp

.bak

.bas

.cfg

.cgi

.cls

.cms

.csv

.ctl

.dbx

.dhtm

.doc

.dsp

.dsw

.eml

.fdb

.frm

.hlp

.imb

.imh

.imh

.imm

.inbox

.ini

.jsp

.ldb

.ldif

.log

.mbx

.mda

.mdb

.mde

.mdw

.mdx

.mht

.mmf

.msg

.nab

.nch

.nfo

.nsf

.nws

.ods

.oft

.php

.phtm

.pl

.pmr

.pp

.ppt

.pst

.rtf

.shtml

.slk

.sln

.stm

.tbb

.txt

.uin

.vap

.vbs

.vcf

.wab

.wsh

.xhtml

.xls

.xml

5、过滤含有以下字符的电子邮件地址，以减缓反病毒公司获得样本的时间：

-dav

.dial.

.kundenserver.

.ppp.

.qmail@

.sul.t-

@arin

@avp

@ca.

@example.

@foo.

@from.

@gmetref

@iana

@ikarus.

@kaspers

@messagelab

@nai.

@panda

@smtp.

@sophos

@www

abuse

announce

antivir

anyone

anywhere

bellcore.

bitdefender

clock

detection

domain.

emsisoft

ewido.

free-av

freeav

ftp.

gold-certs

google

host.

icrosoft.

ipt.aol

law2

linux

mailer-daemon

mozilla

mustermann@

nlpmail01.

noreply

nothing

ntp-

ntp.

ntp@

office

password

postmas

reciver@

secure

service

smtp-

somebody

someone

spybot

sql.

subscribe

support

t-dialin

t-ipconnect

test@

time

user@

variabel

verizon.

viren

virus

whatever@

whoever@

winrar

winzip

you@

yourname

6、向找到的地址发送如下形式的附件：

英文：

主题：

YourPassword&Accountnumber

内容：

hi,

i"vegotanadminmailwithaPasswordandAccountinfo!

butthemailrecipientareyou!it"sprobablyanesmtperror,ithink.

i"vecopiedthefullmailtextintheWindowstext-editor&zipped.

ok,cya...

附件名：

acc_text.zip

德文：

主题：

IchhabeIhreE-Mailbekommen!

内容：

Hallo,

jemandschicktihreprivatenMailsaufmeinemAccount.

Ichschaetzemal,daseseinFehlervomProviderist.

Insgesamtwarenesjetztschon6Mails!

IchhabealleMail-TexteimTexteditorkopiertundgezippt.

WennesdochkeinFehlervomProviderist,sorgedafuerdasdieseDingernichtmehraufmeinemAccountlanden,esNervtnaemlich.

Gruss

附件名：

MailTexte.zip

• ·Worm.Elitper.b
• ·Win32.Troj.Fengshen.b
• ·Worm.MSNLoveme.e
• ·Worm.Myst.10
• ·Worm.MSNLoveme.f
• ·Worm.Bagz.i
• ·Worm.MSNLoveme.g
• ·VBS.Santa
• ·Worm.Mydoom.ao
• ·Win32.Troj.bankobao.a