W32.Sober.X@mm 使用自帶的 SMTP 引擎傳播,將病毒本身作為附屬檔案,傳送到從被感染計算機中收集到的郵件地址,郵件具有英文、德語兩種語言.
基本介紹
- 外文名:W32.Sober.X@mm
- 類別:郵件病毒
- 發現:2005 年 11 月 19 日
- 長度:55,390 位元組
基本介紹,基本信息,防護,威脅評估,廣度,損壞,分發,建議,指導,
基本介紹
基本信息
發現: 2005 年 11 月 19 日
更新: 2007 年 2 月 13 日 1:03:34 PM
別名: CME-681, WORM_SOBER.AG [Trend Micro], W32/Sober-{X, Z} [Sophos], Win32.Sober.W [Computer Associ, Sober.Y [F-Secure], W32/Sober@MM!M681 [McAfee], W32/Sober.AA@mm [Norman], Win32/Sober.Z@mm [Microsoft]
類型: Worm
感染長度: 55,390 bytes
受感染的系統: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
W32.Sober.X@mm 是一種群發郵件蠕蟲,它將自身作為電子郵件附屬檔案傳送至從受到威脅的計算機處收集的地址。 它使用自己的 SMTP 引擎進行傳播。 該電子郵件可能使用英語或德語。
防護
* 病毒定義(每日 LiveUpdate™) 2005 年 11 月 19 日
* 病毒定義(每周 LiveUpdate™) 2005 年 11 月 22 日
* 病毒定義(LiveUpdate™ Plus) 2005 年 11 月 19 日
威脅評估
廣度
* 廣度級別: Medium
* 感染數量: More than 1000
* 站點數量: More than 10
* 地理位置分布: Low
* 威脅抑制: Easy
* 清除: Moderate
損壞
* 損壞級別: Medium
* 大規模傳送電子郵件: Sends itself as an email attachment to addresses gathered from the compromised computer.
* 導致系統不穩定: Mass-mailing of emails may cause system instability.
* 危及安全設定: Overwrites the file Luall.exe with a copy of itself so that the worm will run each time that LiveUpdate is launched.
分發
* 分發級別: High
* 電子郵件的主題: Varies.
* 附屬檔案名稱: Zip file name Varies, but will contain the following file: File-packed_dataInfo.exe
* 連線埠: TCP port 37
執行 W32.Sober.X@mm 時,此蠕蟲會執行以下操作:
1. 顯示包含以下文字的訊息:
Title: WinZip Self-Extractor
Body: Error in packed Header
2. 將自身複製為 %Windir%\<隨機檔案名稱>.exe。
* %Windir%\csrss.exe
* %Windir%\WinSecurity\services.exe
* %Windir%\WinSecurity\smss.exe
注意:%System% 是一個變數。蠕蟲會找到 System 資料夾,並將自身複製到其中。默認情況下,此資料夾為 C:\Windows 或 C:\Winnt.
3. 創建下列MIME-encoded .zip檔案將包含該蠕蟲的副本:
* %Windir%\WinSecurity\socket1.ifo
* %Windir%\WinSecurity\socket2.ifo
* %Windir%\WinSecurity\socket3.ifo
4. 創建下列無惡意的檔案:
* %Windir%\WinSecurity\mssock1.dli
* %Windir%\WinSecurity\mssock2.dli
* %Windir%\WinSecurity\mssock3.dli
* %Windir%\WinSecurity\winmem1.ory
* %Windir%\WinSecurity\winmem2.ory
* %Windir%\WinSecurity\winmem3.ory
* %Windir%\WinSecurity\sysonce.tst
* %Windir%\WinSecurity\starter.run
* %Windir%\WinSecurity\nexttroj.tro
* %System%\bbvmwxxf.hml
* %System%\langeinf.lin
* %System%\nonrunso.ber
* %System%\rubezahl.rub
* %System%\filesms.fms
* %System%\runstop.rst
注意:%System% 是一個變數。蠕蟲會找到 System 資料夾,並將自身複製到其中。默認情況下,此資料夾為 C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000) 或 C:\Windows\System32 (Windows XP)。
5. 將值:
" Windows" = "%Windir%\WinSecurity\services.exe"
添加至以下註冊表子鍵:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
這樣,W32.Sober.X@mm 會在每次 Windows 啟動時運行。
6. 檢查網路連線,方法是與 NTP 伺服器的連線埠聯繫,或連線到以下域之一:
* Rolex.PeachNet.edu
* clock.psu.edu
* cuckoo.nevada.edu
* gandalf.theunixman.com
* nist1.datum.com
* ntp-1.ece.cmu.edu
* ntp-2.ece.cmu.edu
* ntp-sop.inria.fr
* ntp.lth.se
* ntp.massayonet.com.br
* ntp.metas.ch
* ntp.pads.ufrj.br
* ntp0.cornell.edu
* ntp1.arnes.si
* ntp1.theremailer.net
* ntp2.ien.it
* ntp2b.mcc.ac.uk
* ntp2c.mcc.ac.uk
* ntp3.fau.de
* ntps1-1.uni-erlangen.de
* ptbtime2.ptb.de
* rolex.usg.edu
* st.ntp.carnet.hr
* sundial.columbia.edu
* swisstime.ethz.ch
* tick.greyware.com
* time-a.timefreq.bldrdoc.gov
* time-ext.missouri.edu
* time.chu.nrc.ca
* time.ien.it
* time.kfki.hu
* time.mit.edu
* time.nist.gov
* time.nrc.ca
* time.windows.com
* time.xmission.com
* timelord.uregina.ca
* tock.keso.fi
* utcnist.colorado.edu
* vega.cbk.poznan.pl
* time.windows.com
7. 從具有以下擴展名的檔案中收集電子郵件地址:
* .abc
* .abd
* .abx
* .adb
* .ade
* .adp
* .adr
* .asp
* .bak
* .bas
* .cfg
* .cgi
* .cls
* .cms
* .csv
* .ctl
* .dbx
* .dhtm
* .doc
* .dsp
* .dsw
* .eml
* .fdb
* .frm
* .hlp
* .imb
* .imh
* .imh
* .imm
* .inbox
* .ini
* .jsp
* .ldb
* .ldif
* .log
* .mbx
* .mda
* .mdb
* .mde
* .mdw
* .mdx
* .mht
* .mmf
* .msg
* .nab
* .nch
* .nfo
* .nsf
* .nws
* .ods
* .oft
* .php
* .phtm
* .pl
* .pmr
* .pp
* .ppt
* .pst
* .rtf
* .shtml
* .slk
* .sln
* .stm
* .tbb
* .txt
* .uin
* .vap
* .vbs
* .vcf
* .wab
* .wsh
* .xhtml
* .xls
* .xml
該蠕蟲會避免將自身傳送至包含以下字元串的地址:
* -dav
* .dial.
* .kundenserver.
* .ppp.
* .qmail@
* .sul.t-
* @arin
* @avp
* @ca.
* @example.
* @foo.
* @from.
* @gmetref
* @iana
* @ikarus.
* @kaspers
* @messagelab
* @nai.
* @panda
* @smtp.
* @sophos
* @www
* abuse
* announce
* antivir
* anyone
* anywhere
* bellcore.
* bitdefender
* clock
* detection
* domain.
* emsisoft
* ewido.
* free-av
* freeav
* ftp.
* gold-certs
* google
* host.
* icrosoft.
* ipt.aol
* law2
* linux
* mailer-daemon
* mozilla
* mustermann@
* nlpmail01.
* noreply
* nothing
* ntp-
* ntp.
* ntp@
* office
* password
* postmas
* reciver@
* secure
* service
* smtp-
* somebody
* someone
* spybot
* sql.
* subscribe
* support
* t-dialin
* t-ipconnect
* test@
* time
* user@
* variabel
* verizon.
* viren
* virus
* whatever@
* whoever@
* winrar
* winzip
* you@
* yourname
8. 試圖將其自身的副本傳送至收集到的電子郵件地址。 該電子郵件可能使用英語或德語,並具有以下特徵:
德語:
收件人: [SPOOFED]
主題:
以下項之一:
* Ihr Passwort
* Account Information
* SMTP Mail gescheitert
* Mailzustellung wurde unterbrochen
* Ermittlungsverfahren wurde eingeleitet
* Sie besitzen Raubkopien
* RTL: Wer wird Millionaer
* Sehr geehrter Ebay-Kunde
訊息:
以下項之一:
* Ihre Nutzungsdaten wurden erfolgreich geaendert. Details entnehmen Sie bitte dem Anhang.
*** [http://]www.[DOMAIN NAME OF SENDER]
*** E-Mail: PassAdmin
* Bei uns wurde ein neues Benutzerkonto mit dem Namen
beantragt.
Um das Konto einzurichten, benoetigen wir eine Bestaetigung, dass die bei der Anmeldung angegebene e-Mail-Adresse stimmt.
Bitte senden Sie zur Bestaetigung den ausgefuellten Anhang an uns zurueck.
Wir richten Ihr Benutzerkonto gleich nach Einlangen der Bestaetigung ein und verstaendigen Sie dann per e-Mail, sobald Sie Ihr Konto benutzen koennen.
Vielen Dank,
Ihr Ebay-Team
* Sehr geehrte Dame, sehr geehrter Herr,
das Herunterladen von Filmen, Software und MP3s ist illegal und somit strafbar.
Wir moechten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP
erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet.
Die Strafanzeige und die Moeglichkeit zur Stellungnahme wird Ihnen in den naechsten Tagen schriftlich zugestellt.
Aktenzeichen NR.:#
(siehe Anhang)
Hochachtungsvoll
i.A. Juergen Stock
--- Bundeskriminalamt BKA
--- Referat LS 2
--- 65173 Wiesbaden
--- Tel.: +49 (0)611 - 55 - 12331 oder
--- Tel.: +49 (0)611 - 55 - 0
* Glueckwunsch: Bei unserer EMail Auslosung hatten Sie und weitere neun Kandidaten Glueck.
Sie sitzen demnaechst bei Guenther Jauch im Studio!
Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.
+++ RTL interactive GmbH
+++ Geschaeftsfuehrung: Dr. Constantin Lange
+++ Am Coloneum 1
+++ 50829 Koeln
+++ Fon: +49(0) 221-780 0 oder
+++ Fon: +49 (0) 180 5 44 66 99
附屬檔案:
以下項之一:
* [STRING 1].zip
* [STRING 1]-TextInfo.zip
* Email.zip
* Email_text.zip
* [STRING 2].zip
* Akte[STRING 2].zip
* [STRING 3].zip
* [STRING 3]_Text.zip
* Ebay.zip
* Ebay-User_RegC.zip
此處變數[STRING 1] 為下列項目之一
* Service
* Webmaster
* Postman
* Info
* Hostmaster
* Postmaster
* Admin
此處變數[STRING 2] 為下列項目之一
* Downloads
* BKA
* Internet
* Post
* Anzeige
* BKA.Bund
此處變數[STRING 3] 為下列項目之一
* Kandidat
* WWM
* Auslosung
* Casting
* Gewinn
* Info
* RTL-Admin
* RTL
* Webmaster
* RTL-TV
英語:
收件人: [SPOOFED]
主題:
以下項之一:
* Your Password
* Registration Confirmation
* smtp mail failed
* Mail delivery failed
* hi, ive a new mail address
* You visit illegal websites
* Your IP was logged
* Paris Hilton & Nicole Richie
訊息:
以下項之一:
* Account and Password Information are attached!
Protected message is attached!
=====dHSd9SZd;99zZ((EEEA
=====dw1W)6ZdzSL91WR
***** Go to: [http://]www.[DOMAIN NAME OF SENDER]
***** Email: postman
* This is an automatically generated Delivery Status Notification.
SMTP_Error []
I'm afraid I wasn't able to deliver your message.
This is a permanent error; I've given up. Sorry it didn't work out.
The full mail-text and header is attached!
* hey its me, my old address dont work at time. i dont know why?!
in the last days ive got some mails. i' think thaz your mails but im not sure!
plz read and check ...
cyaaaaaaa
* Dear Sir/Madam,
we have logged your IP-address on more than 30 illegal Websites.lease answer our questions!
The list of questions are attached.
Yours faithfully,
Steven Allison
Department Office Admin Mail Post
===dkX XbW6dxPbXWPdSDd@R2XL9)CW9)SRd?kx@?
===dt4OduXRRL062WR)Wd.2XRPX,dKa,dnSS1d4vvy
*** Federal Bureau of Investigation -FBI-
*** 935 Pennsylvania Avenue, NW, Room 3220
*** Washington, DC 20535
++++ Central Intelligence Agency -CIA-
++++ Office of Public Affairs
++++ Washington, D.C. 20505
++++ phone: (703) 482-0623
++++ 7:00 a.m. to 5:00 p.m., US Eastern time
* The Simple Life:
View Paris Hilton & Nicole Richie video clips , pictures & more ;)
Download is free until Jan, 2006!
Please use our Download manager.
附屬檔案:
以下項之一:
* reg_pass.zip
* reg_pass-data.zip
* mail.zip
* mail_body.zip
* mailtext.zip
* list[RANDOM CHARACTERS].zip
* question_list[RANDOM CHARACTERS].zip
* downloadm.zip
附屬檔案其中包含蠕蟲副本,檔案中的檔案名稱將是:
File-packed_dataInfo.exe
建議
建議所有用戶和管理員遵循以下基本安全“最佳實踐”:
* 禁用並刪除不需要的服務。 默認情況下,許多作業系統會安裝不必要的輔助服務,如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除,混合型威脅的攻擊途徑會大為減少,同時您的維護工作也會減少,只通過補丁程式更新即可完成。
* 如果混合型威脅攻擊了一個或多個網路服務,則在套用補丁程式之前,請禁用或禁止訪問這些服務。
* 始終安裝最新的補丁程式,尤其是那些提供公共服務而且可以通過防火牆訪問的計算機,如 HTTP、FTP、郵件和 DNS 服務(例如,所有基於 Windows 的計算機上都應該安裝最新的 Service Pack)。. 另外,對於本文中、可靠的安全公告或供應商網站上公布的安全更新,也要及時套用。
* 強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。
* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件,這些檔案常用於傳播病毒。
* 迅速隔離受感染的計算機,防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。
指導
1. 禁用系統還原(Windows Me/XP)
如果您運行的是 Windows Me 或 Windows XP,建議您暫時關閉“系統還原”。此功能默認情況下是啟用的,一旦計算機中的檔案被破壞,Windows 可使用該功能將其還原。如果病毒、蠕蟲或特洛伊木馬感染了計算機,則系統還原功能會在該計算機上備份病毒、蠕蟲或特洛伊木馬。
Windows 禁止包括防毒程式在內的外部程式修改系統還原。因此,防毒程式或工具無法刪除 System Restore 資料夾中的威脅。這樣,系統還原就可能將受感染檔案還原到計算機上,即使您已經清除了所有其他位置的受感染檔案。
此外,病毒掃描可能還會檢測到 System Restore 資料夾中的威脅,即使您已將該威脅刪除。
有關如何關閉系統還原功能的指導,請參閱 Windows 文檔或下列文章之一:
o 如何禁用或啟用 Windows XP 系統還原
o 如何禁用或啟用 Windows Me 系統還原
注意:蠕蟲移除乾淨後,請按照上述文章所述恢復系統還原的設定。
2. 更新病毒定義
o 運行 LiveUpdate(這是獲取病毒定義的最簡便方法):這些病毒定義被每周一次(通常在星期三)發布到 LiveUpdate 伺服器上,除非出現大規模的病毒爆發情況。要確定是否可通過 LiveUpdate 獲取此威脅的定義,請參考病毒定義 (LiveUpdate)。
3. 掃描和刪除受感染檔案
1. 啟動 防毒程式,並確保已將其配置為掃描所有檔案。
2. 運行完整的系統掃描。
3. 如果檢測到任何檔案被 W32.Sober.F@mm 感染,請單擊“刪除”。
注意:如果您的 防毒軟體產品報告無法刪除受感染的檔案,Windows 可能正在使用該檔案。要解決該問題,請在安全模式下運行掃描。有關指導,請參閱文檔:如何以安全模式啟動計算機。 以安全模式重新啟動後,再次運行掃描。
刪除檔案之後,請以正常模式重新啟動計算機,然後繼續進行下一部分。
計算機重新啟動時可能會顯示警告訊息,因為此時尚未完全清除威脅。請忽略這些訊息,並單擊“確定”。徹底完成清除操作之後,再重新啟動計算機時不會出現這些訊息。所顯示的訊息可能與此相似:
標題: [檔案路徑]
訊息正文: Windows 找不到 [檔案名稱]。請確保鍵入了正確的名稱,然後重試。要搜尋檔案,請單擊“開始”按鈕,然後單擊“搜尋”。
4. 從註冊表中刪除值
重要信息: 建議在進行任何更改之前先備份註冊表。錯誤地更改註冊表可能導致數據永久丟失或檔案損壞。應只修改指定的子鍵。有關指導,請參閱文檔:「如何備份 Windows 註冊表」
1. 單擊“開始”>“運行”。
2. 鍵入 regedit
3. 單擊“確定”。
4. 導航至以下子鍵:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
5. 在右窗格中,刪除以下值:
" WinStart" = "%Windir%\Connection Wizard\Status\services.exe"
6. 導航至以下子鍵:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
7. 在右窗格中,刪除以下值:
"_WinStart" = "%Windir%\Connection Wizard\Status\services.exe"
8. 退出註冊表編輯器。