基本介紹
- 中文名:I-Worm/Sober.d
- 病毒長度:33,792位元組
- 病毒類型:網路蠕蟲
- 影響平台:Win9X/2000/XP/NT/Me/2003
I-Worm/Sober.d
病毒的傳播過程和特徵如下:
1.首先在系統目錄下拷貝自身為<隨機檔案名稱>.exe,然後生成檔案:temp32x.data,wintmpx33.dat,Humgly.lkur,
yfjq.yqwm ,zmndpgwf.kxx,mslog32.dll
2.修改註冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce下添加"<任意值>" = "%System%\<隨機檔案名稱>.exe %1"鍵值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\<隨機檔案名稱>下添加"<任意值>" = "%System%\<<隨機檔案名稱>.exe"鍵值
註:<隨機檔案名稱>和<任意值>都是蠕蟲構造的字元串
3.偽裝成微軟公司為MyDoom病毒開發的補丁軟體,顯示虛假的微軟公司警告和錯誤信息:
**This patch has been successfully installed.
**This patch does not need to be installed on this system.
**Microsoft Windows
STOP: 0x80070725 {FatalSystemError}
System File [filename].exe
Connection lost or blocked by Firewall
4.在所有硬碟驅動器下有如下擴展名的檔案中搜尋Email地址,並保存到系統目錄下的mslog32.dll檔案里.
.abd .adb .asp .dbx .doc .eml .ini
.log .mdb .php .pl .rtf .shtml .tbb
.ttt .txt .wab .xls
5.郵件有如下特徵:
發件人:<random sender>@microsoft.com
<random sender>從下列表中選擇:
Info,Center,UpDate,News,Help,Studio,Alert,
Patch,Security
主題:<下列選一>
Microsoft Alert: Please Read! Message-ID: <[random characters][email protected]>
Microsoft Alarm: Bitte Lesen! Message-ID: <[random characters][email protected]>
附屬檔案:<隨機名字><數字><.zip或.exe>
<隨機名字>可能是Patch,MS-Security,MS-UD,UpDate,sys-patch,MS-Q
病毒還會避免向一些國內外防毒廠商傳送郵件。
