基本介紹
- 中文名:I-Worm/Sober.f
- 病毒長度:42,496 bytes
- 病毒類型:網路蠕蟲
- 危害等級:**
影響平台,傳播過程,
影響平台
Win9X/2000/XP/NT/Me
傳播過程
1.複製自身為:%System%\<隨機檔案名>.exe
<隨機檔案名稱>從下列表中選擇:
sys
host
dir
explorer
win
run
log
32
disc
crypt
data
diag
spool
service
smss32
2.修改註冊表:
/添加鍵值:"<任意值" = "%System%\<隨機檔案名稱>.exe
到註冊表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\<random filename>
/添加鍵值:"<任意值>" = "%System%\<隨機檔案名稱>.exe %1"
到註冊表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
3.生成下列檔案:
%System%\zmndpgwf.kxx
%System%\zhcarxxi.vvx
%System%\bcegfds.lll
%System%\syst32win.dll
%System%\winsys32xx.zzp
%System%\winhex32xx.wrm
%System%\spoofed_recips.ocx
4.如果系統不能連線網路,則會利用撥號進行連線並出現下列對話框:
Microsoft Windows
STOP: 0x80070725 {FatalSystemError}
System File [filename].exe
Connection lost or blocked by Firewall
.abc .abd .abx .adb .ade .adp .adr .asp .bas .cfg
.cgi .cls .ctl .dbx .dhtm .doc .dsp .dsw .eml
.fdb .frm .hlp .ini .jsp .ldb .dif .log .mbx
.mda .mdb .mde .mdw .mdx .mht .mmf .msg .nab
.nch .nfo .nsf .ods .oft .php .pl .pp .ppt .pst
.rtf .shtml .sln .tbb .txt .uin .vap .vbs .wab
.wsh .xls .xml
利用自帶的SMTP引擎傳送自身到上述地址,郵件發件人、正文和附屬檔案名都是變化的,一般用英文或德文表達。
註:%Windir%為變數,一般為C:\Windows 或 C:\Winnt;
%System%為變數,一般為C:\Windows\System (Windows 95/98/Me),
C:\Winnt\System32 (Windows NT/2000), 或
C:\Windows\System32 (Windows XP)。