Win32.Sobig是一種使用自己的引擎通過e-mail及共享驅動器傳播的蠕蟲。
基本介紹
- 病毒名稱:Win32.Sobig
- 其它名稱:WORM_Sobig.A, W32.Sobig.A@mm
- 病毒屬性:蠕蟲病毒
- 危害性:中等危害
- 流行程度:高
- 影響平:Win 9x/2000/XP/NT/Me/2003
病毒屬性,傳播方式,注意事項,
病毒屬性
蠕蟲病毒 危害性:中等危害 流行程度:高
傳播方式
Re: Here is that sample
Re: Document
Re: Sample
Re: Movies
附屬檔案名稱可能是下面列表中的一個:
Sample.pif
Untitled1.pif
Document003.pif
Movie_0074.mpeg.pif
郵件的正文非常簡單:
Attached file:
運行時,蠕蟲會拷貝自己的副本到:
%windows%\winmgm32.exe
蠕蟲也修改下面這兩個註冊表鍵值,以便每次Windows啟動這份拷貝就會自動運行:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WindowsMGM="%windows%\winmgm32.exe"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WindowsMGM="%windows%\winmgm32.exe"
注意事項
:只有當這些註冊表鍵值存在時,蠕蟲才會修改註冊表。所以,第2個鍵值在Windows98上不會存在,因為下面這個鍵值並不存在:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
蠕蟲會搜尋有下面這些擴展名的檔案,以便向這些檔案中的郵件地址傳送e-mail。
txt
eml
html
htm
dbx
wab
蠕蟲也嘗試拷貝自己的副本到下面這個地方,從而傳播到Windows的遠程共享:
Documents and Settings\All Users\Start Menu\Programs\Startup Windows\All Users\Start Menu\Programs\StartUp
蠕蟲會嘗試從www站點上下載檔案,而這個檔案則包含了蠕蟲下載以及運行的另外一個網際網路地址。這個檔案以"dwn.dat"為檔案名稱被保存在Windows目錄下。運行後,這個下載檔案其實就是Win32.Zasil trojan.木馬的一個變種。
