W32.Sober.I@mm

別名： Win32.Sober.I [Computer Associ, Sober.I [F-Secure], I-Worm.Sober.i [Kaspersky], W32/Sober.j@MM [McAfee], W32/Sober.I@mm [Norman], W32/Sober.I.worm [Panda], W32/Sober-I [Sophos], WORM_SOBER.I [Trend]

感染長度： 56,808 bytes

受感染的系統： Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

W32.Sober.I@mm ,其散播方式為使用自身的 SMTP 引擎將自己當作電子郵件附屬檔案傳送出去。

該電子郵件的「主旨:」和「內文:」會隨之改變,而且是以英文或德文編寫成。

偽裝寄件者之電子郵件地址中的 <寄件者>

附屬檔案使用 .pif, .scr, .bat or .com或 zip 擴展名,也可能有兩個擴展名。

此威脅是以 Microsoft Visual Basic 編寫而且是以 UPX 壓縮而成。

注意: [快速發布」的定義檔 38560 版或更新版本可偵測此威脅。

* 病毒定義（每周 LiveUpdate™） 2004 年 11 月 19 日

* 病毒定義（智慧型更新程式） 2004 年 11 月 19 日

* 廣度級別： Low

* 感染數量： More than 1000

* 站點數量： More than 10

* 地理位置分布： Medium

* 威脅抑制： Easy

* 清除： Moderate

* 損壞級別： Medium

* 有效負載： May download and execute remote files.

* 大規模傳送電子郵件： Sends a mass-mailing.

* 分發級別： High

* 電子郵件的主題： Varies

* 附屬檔案名稱： Varies

* 連線埠： TCP port 37.

當 W32.Sober.D@mm 執行時,它會執行下列操作:

1. 顯示下列訊息:

"WinZip_Data_Module is missing ~Error: {[random number]}"

2. 在 %System% 資料夾中使用下列字元串名安裝兩個檔:

* sys

* host

* dir

* expoler

* win

* run

* log

* 32

* disc

* crypt

* data

* diag

* spool

* service

* smss32

注意:%System% 代表變數。病蟲會找到 System 數據夾並將自己複製過去。預設的位置是 C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000) 或 C:\Windows\System32 (Windows XP)。

3. 安裝下列檔:

* %System%\nonzipsr.noz

* %System%\clonzips.ssc

* %System%\clsobern.isc

* %System%\sb2run.dii

* %System%\winsend32.dal

* %System%\winroot64.dal

* %System%\zippedsr.piz

* %System%\winexerun.dal

* %System%\winmprot.dal

* %System%\dgssxy.yoi

* %System%\cvqaikxt.apk

* %System%\sysmms32.lla

* %System%\Odin-Anon.Ger

4. 將值:

"[random value name]" = "%System%\[random worm file name].exe"

"[random value name]" = "%System%\[random worm file name].exe %srun%"

添加到以下註冊表鍵:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

因此,當 Windows 啟動時,病蟲就會啟動。

注意: 該 <隨機值>(random value name)是病蟲使用下列字元串所組成的字元串:

* sys

* host

* dir

* expoler

* win

* run

* log

* 32

* disc

* crypt

* data

* diag

* spool

* service

* smss32

* x

5. 下載並執行檔.

6. 掃描受感染計算機尋找電子郵件地址: 該病蟲會跳過包含以下字元串的電子郵件地址:

* office

* @www

* @from.

* support

* redaktion

* smtp-

* @smtp.

* gold-certs

* ftp.

* .dial.

* .ppp.

* anyone

* subscribe

* announce

* @gmetref

* sql.

* someone

* nothing

* you@

* user@

* reciver@

* somebody

* secure

* msdn.

* me@

* whatever@

* whoever@

* anywhere

* yourname

* mustermann@

* .kundenserver.

* mailer-daemon

* variabel

* password

* -dav

* law2

* .sul.t-

* .qmail@

* t-ipconnect

* t-dialin

* ipt.aol

* time

* postmas

* service

* freeav

* @ca.

* abuse

* winrar

* domain.

* host.

* viren

* bitdefender

* spybot

* detection

* ewido.

* emsisoft

* linux

* google

* @foo.

* winzip

* @example.

* bellcore.

* @arin

* mozilla

* @iana

* @avp

* @msn

* icrosoft.

* @spiegel.

* @sophos

* @panda

* @kaspers

* free-av

* antivir

* virus

* verizon.

* @ikarus.

* @nai.

* @messagelab

* nlpmail01.

* clock

* track.

* www.

* members.

* clicks.

* refer.

8. 通過SMTP 引擎將自己傳送到在上述步驟收集到的電子郵件地址。 電子郵件為德語或英語並具有以下特徵:

偽裝寄件者之電子郵件地址中的 <隨機寄件者> 是從下列清單中隨機挑選的:

* Info

* FehlerMail

* Webmaster

* ReMailer

* Lisa

* Peter

* Michael

* Thomas

* Elke

* Susi

* Nadine

* Benutzer-Daten

* Information

* Service

* Hilfe

* Webmaster

* Hostmaster

* Postmaster

* User-Info

主旨:(以下所列德語或英語字元串之一)

* hi there

* hey dude!

* wazzup!!!

* yeah dude :P

* Details

* Oh God it's

* damn!

* #

* Registration confirmation

* Confirmation

* Your Password

* Your mail account

* Delivery failure notice

* Faulty mail delivery

* Mail delivery failed

* Mailing Error

* Illegal signs in E-Mail

* Invalid mail length

* Mail Delivery failure

* mail delivery status

* Warning!

* error in dbase

* DBase Error

* ups, i've got your mail

* Sorry, that's your mail

* why do you do that?

* Life's a Bitch

* Smiling Like a Killer

* lol,wat'nlosey?

* Informationvon

* FalscheMailzustellung

* FehlerinIhrerE-Mail

* IhreE-Mailwarfehlerhaft

* ESMTPError

* UngültigeVariableninihrerE-Mail

* Verbindungwurdegetrennt

* Mail_Fehler

* IhrneuerAccount

* NeueAccountDaten

* Siehabennichtgezahlt

* Rechnung

* Hi,seivorsichtig!

* Achtung!gef&auml;hrlicherVirus!

* Schongeh&ouml;rt?

* DieTools!

* DeinZeug's!

* Hierfürdich^^

* BestellungsBest&auml;tigung

* Lieferungs-Best&auml;tigung

* Ok,hieristmein

* Ichhabemichindichv

內文:(以下所列德語或英語字元串之一)

++++ User-Service: http://www.<sender's domain>

++++ MailTo: postmaster@<sender's domain>

Your password was changed successfully.

Protected message is attached.

This account_hast_been_disabled.

_failed_after_I_sent_the_message.

Diese Information ist geschützt duch ein Passwort!

Da Sie uns Ihre Pers&ouml;nlichen Daten zugesandt haben, ist das Passwort Ihr Geburts-Datum.

Viel vergnügen mit unserem Angebot!

Im I-Net unter: http:www.[domain]

Aus Datenschutzrechtlichen Gründen, darf die vollst&auml;ndige E'Mail incl. Daten nur angeh&auml;ngt werden.

Wir bitten Sie, dieses zu berücksichtigen.

GmBH & Co. KG

Da unsere Datenbanken leider durch einen Programm Fehler zerst&ouml;rt wurden, mussten wir leider eine &auml;nderung bezüglich Ihrer Nutzungs- Daten vornehmen.

Ihre ge&auml;nderten Account Daten, befinden sich im beigefügten Dokument.

---------------------------------------------------------

This mail was generated automatically.

-------

Occured_Errors:

[IP]_does_not_like_recipient.

# 440: MAILBOX NOT FOUND

End

-------

The full mail is attached.

Auto_Mail.System: [gaynet]

*-*-* Mail_Scanner: No Virus

*-*-* SYMANTEC- Anti_Virus Service

---------------------------------------------------------

I was surprised, too!

Who_could_suspect_something_like_that? shityiiiii

---------------------------------------------------------

--------------This mail was generated automatically.

-------

Occured_Errors:

[IP]_does_not_like_sender.

# 153: Giving_up_on_[IP]

End

-------

The full mail is attached.

Auto_Mail.System: [hotmail]

*-*-* Mail_Scanner: No Virus

*-*-* SYMANTEC- Anti_Virus Service

---------------------------------------------------------

附屬檔案:(以下所列德語或英語字元串之一,使用 .pif, .scr, .bat or .com或 zip 擴展名)

* im_shocked

* oh_nono

* thats_hard

* mail

* auto_mail

* re-mail_system

* Error_mail

附屬檔案也可能以 [收件人域].[下列擴展名之一].zip的形式出現:

* .txt

* .doc

* .word

* .xls

* .eml

* .TXT

* .DOC

* EML

賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”：

* 禁用並刪除不需要的服務。 默認情況下，許多作業系統會安裝不必要的輔助服務，如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除，混合型威脅的攻擊途徑會大為減少，同時您的維護工作也會減少，只通過補丁程式更新即可完成。

* 如果混合型威脅攻擊了一個或多個網路服務，則在套用補丁程式之前，請禁用或禁止訪問這些服務。

* 始終安裝最新的補丁程式，尤其是那些提供公共服務而且可以通過防火牆訪問的計算機，如 HTTP、FTP、郵件和 DNS 服務（例如，所有基於 Windows 的計算機上都應該安裝最新的 Service Pack）。. 另外，對於本文中、可靠的安全公告或供應商網站上公布的安全更新，也要及時套用。

* 強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。

* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件，這些檔案常用於傳播病毒。

* 迅速隔離受感染的計算機，防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。

* 教育員工不要打開意外收到的附屬檔案。 並且只在進行病毒掃描後才執行從網際網路下載的軟體。如果未對某些瀏覽器漏洞套用補丁程式，那么訪問受感染的網站也會造成病毒感染。

使用 W32.Sober 防毒工具防毒

賽門鐵克安全回響中心開發了一種防毒工具，可用來清除 W32.Sober.I@mm 感染。這是消除此威脅的最簡便方法，您可先運行防毒工具防毒。

手動防毒

以下指導適用於所有當前和最新的賽門鐵克防病毒產品，包括 Symantec AntiVirus 和 Norton AntiVirus 系列產品。

1. 禁用系統還原 (Windows Me/XP)。

2. 更新病毒定義。

3. 將計算機重啟到安全模式或者 VGA 模式。

4. 運行完整的系統掃描，並刪除所有檢測為 W32.Sober.I@mm 的檔案。

5. 恢復添加到註冊表的值。

有關每個步驟的詳細信息，請閱讀以下指導。

1. 禁用系統還原（Windows Me/XP）

如果您運行的是 Windows Me 或 Windows XP，建議您暫時關閉“系統還原”。此功能默認情況下是啟用的，一旦計算機中的檔案被破壞，Windows 可使用該功能將其還原。如果病毒、蠕蟲或特洛伊木馬感染了計算機，則系統還原功能會在該計算機上備份病毒、蠕蟲或特洛伊木馬。

Windows 禁止包括防病毒程式在內的外部程式修改系統還原。因此，防病毒程式或工具無法刪除 System Restore 資料夾中的威脅。這樣，系統還原就可能將受感染檔案還原到計算機上，即使您已經清除了所有其他位置的受感染檔案。

此外，病毒掃描可能還會檢測到 System Restore 資料夾中的威脅，即使您已將該威脅刪除。

有關如何關閉系統還原功能的指導，請參閱 Windows 文檔或下列文章之一：

* 如何禁用或啟用 Windows XP 系統還原

* 如何禁用或啟用 Windows Me 系統還原

注意：蠕蟲移除乾淨後，請按照上述文章所述恢復系統還原的設定。

有關詳細信息以及禁用 Windows Me 系統還原的其他方法，請參閱 Microsoft 知識庫文章：病毒防護工具無法清除 _Restore 資料夾中受感染的檔案，文章 ID：CH263455。

2. 更新病毒定義

賽門鐵克安全回響中心在我們的伺服器上發布任何病毒定義之前，會對其進行全面測試以保證質量。可以通過兩種方式獲得最新的病毒定義：

* 運行 LiveUpdate（這是獲取病毒定義的最簡便方法）：這些病毒定義被每周一次（通常在星期三）發布到 LiveUpdate 伺服器上，除非出現大規模的病毒爆發情況。要確定是否可通過 LiveUpdate 獲取此威脅的定義，請參考病毒定義 (LiveUpdate)。

* 使用智慧型更新程式下載病毒定義：智慧型更新程式病毒定義會在工作日（美國時間，星期一至星期五）發布。應該從賽門鐵克安全回響中心網站下載病毒定義並手動進行安裝。要確定是否可通過智慧型更新程式獲取此威脅的定義，請參考病毒定義（智慧型更新程式）。

現在提供智慧型更新程式病毒定義：有關詳細說明，請參閱如何使用智慧型更新程式更新病毒定義檔案。

3. 掃描和刪除受感染檔案

1. 啟動 Symantec 防病毒程式，並確保已將其配置為掃描所有檔案。

* Norton AntiVirus 單機版產品：請閱讀文檔：如何配置 Norton AntiVirus 以掃描所有檔案。

* 賽門鐵克企業版防病毒產品：請閱讀 如何確定 Symantec 企業版防病毒產品被設定為掃描所有檔案。

2. 運行完整的系統掃描。

3. 如果檢測到任何檔案被 W32.Sober.F@mm 感染，請單擊“刪除”。

4. 恢復添加到註冊表的值

注意：對系統註冊表進行任何修改之前，賽門鐵克強烈建議您最好先替註冊表進行一次備份。對註冊表的修改如果有任何差錯，嚴重時將會導致數據遺失或檔案受損。只修改指定的註冊表鍵。如需詳細指示，請閱讀「如何備份 Windows 註冊表」檔案。

1. 單擊“開始”，然後單擊“運行”。

2. 鍵入 regedit

然後單擊“確定”。

3. 導航至以下鍵：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

4. 在右窗格中，刪除值：

"[random value name]" = "%System%\[random worm file name].exe"

"[random value name]" = "%System%\[random worm file name].exe %srun%"

5. 退出註冊表編輯器。

描述者： Candid Wueest