Win32.Sober.j

中文名 填寫人物中文名或其中文譯名

外文名 Win32.Sober.j

威脅級別

★★

病毒類型

影響系統

Win9x / WinNT

該病毒的郵件內容大概如下:(英文或德文)

First, Sorry for my very bad English!

Someone send your private mails on my email account!

I think its an Mail-Provider or SMTP error.

Normally, I delete such emails immediately,but in the mail-text is a name & adress.

I think its your name and adress.The sender of this mails is in the text file too.

附屬檔案為:隨機

1.複製自身到系統目錄下,檔案名稱可能為以下之一:

sys

host

dir

expoler

win

run

log

32

disc

crypt

data

diag

spool

service

smss32

2.在註冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

下增加自啟動項 鍵值為上面生成的檔案名稱

3.創建以下檔案:

%System%\dgsfzipp.gmx

%System%\read.me

%System%\dgssxy.yoi

%System%\sysmms32.lla

%System%\cvqaikxt.apk

%System%\Odin-Anon.Ger

%System%\datamx.dam

%System%\nonrunso.ber

4.從以下擴展名檔案中獲取Email地址

pmr

phtm

stm

slk

inbox

imb

csv

bak

imh

xhtml

imm

imh

cms

nws

vcf

ctl

dhtm

cgi

pp

ppt

msg

jsp

oft

vbs

uin

ldb

abc

pst

cfg

mdw

mbx

mdx

mda

adp

nab

fdb

vap

dsp

ade

sln

dsw

mde

frm

bas

adr

cls

ini

ldif

log

mdb

xml

wsh

tbb

abx

abd

adb

pl

rtf

mmf

doc

ods

nch

xls

nsf

txt

wab

eml

hlp

mht

nfo

php

asp

shtml

dbx

5.傳送帶毒郵件到上面找到的郵件地址中,但該病毒不會傳送帶毒郵件到包含以下字元串的信箱內

ntp-

ntp@

ntp.

info@

test@

office

@www

@from.

support

smtp-

@smtp.

gold-certs

ftp.

.dial.

.ppp.

anyone

subscribe

announce

@gmetref

sql.

someone

nothing

you@

user@

reciver@

somebody

secure

me@

whatever@

whoever@

anywhere

yourname

mustermann@

.kundenserver.

mailer-daemon

variabel

password

noreply

- -dav

law2

.sul.t-

.qmail@

t-ipconnect

t-dialin

ipt.aol

time

postmas

service

freeav

@ca.

abuse

winrar

domain.

host.

viren

bitdefender

spybot

detection

ewido.

emsisoft

linux

google

@foo.

winzip

@example.

bellcore.

@arin

mozilla

@iana

@avp

icrosoft.

@sophos

@panda

@kaspers

free-av

antivir

virus

verizon.

@ikarus.

@nai.

@messagelab

nlpmail01.

clock

6.該帶毒郵件的特徵大概如下:

發件人:

假造

主題:

I've got YOUR email on my account!!

Ey du DOOF Nase, warum beantw...

正文:

One of the following:

Hello,

First, Sorry for my very bad English!

Someone send your private mails on my email account!

I think it's an Mail-Provider or SMTP error.

Normally, I delete such emails immediately, but in the mail-text is a

name & adress. I think it's your name and adress.

In the last 8 days i've got 7 mails in my mail-box, but the recipient

are you, not me. lol

OK, I've copied all email text in the Windows Text-Editor and i've

zipped the text file with WinZip.

The sender of this mails is in the text file, too.

bye

Warum beantwortest Du meine E-Mails nicht?

Kommen meine Mails nicht mehr bei dir an oder so???

Habe mir jetzt extra eine neue Mail Adresse bei GMX gemacht!

Ich hoffe mal, das sie jetzt zu dir durch dringen wird.

In meinen anderen Mails habe ich einige Wichtige Dinge

niedergeschrieben, hatte aber keine Lust alles nochmal zu schreiben.

Deshalb habe ich die alten Mail-Texte im Texteditor kopiert und mit

Winzip kleiner gemacht.

Lesen und diesmal auch bescheid geben!!!!

tschau.....

附屬檔案:

擴展名可能為 .pif, .zip, .scr, .bat, 或 .com