I-Worm/Sober.e病毒是用自帶的SMTP引擎傳送自身進行傳播,並試圖從一些站點下載並執行檔案。郵件的主題和正文是變化的,而且使用的語言為英語。
基本介紹
基本信息,傳播過程,
基本信息
I-Worm/Sober.e
影響平台:Win9X/2000/XP/NT/Me/2003
傳播過程
1.複製自身到系統目錄下,檔案名稱為<filename>.exe
2.修改註冊表:
/生成子鍵:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\<filename>
/添加鍵值:"<任意值>" = "%System%\<filename>.exe %1"
到註冊表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
註: <filename>為下列之一:
sys 、host 、dir 、explorer 、win 、run 、log 、
32 、disc 、crypt 、data 、diag 、spool 、service 、
smss32
3.生成檔案:
%System%\msWord.wrd
%System%\MsHelp32.dat
%System%\WinRun32.dll
%System%\bcegfds.lll
%System%\zmndpgwf.kxx
4.運行畫筆工具或顯示一個對話框,內容為: Graphic modul not found
5.如果系統不能連線網際網路,蠕蟲會利用所有可能的內置連線,並出現一個提示框。
6.在TCP連線埠37連線下列NTP伺服器確定日期:
Rolex.PeachNet.edu
ntps1-1.cs.tu-berlin.de
ntp2.fau.de
ptbtime2.ptb.de
time.nrc.ca
ntp.metas.ch
ntps1-0.cs.tu-berlin.de
ntp0.fau.de
timelord.uregina.ca
ntp-1.ece.cmu.edu
ptbtime1.ptb.de
time.ien.it
ntp3.fau.de
time.chu.nrc.ca
clock.psu.edu
ntp1.fau.de
如果系統時間在2004.3.24之後,則會在TCP連線埠80從站點home.arcor.de 和people.freenet.de 下載並執行檔案%Windows%\ndhaqqth.exe
7.遍歷計算機所有固定驅動器,從特定類型檔案中搜尋郵件地址,並保存到檔案%System%\WinRun32.dll
.abd 、.abx 、.adb 、.asp 、.dbx 、.doc 、.eml 、
.ini 、.log 、.mdb 、.php 、.pl 、.rtf 、.shtml 、
.tbb 、.ttt 、.txt 、.wab 、.xls
傳送自身到上述地址,郵件特徵:
發件人、主題、正文、附屬檔案名都是變化的,附屬檔案名為下列之一:
Text.zip
Text.pif
Read.zip
Read.pif
Graphic-doc.zip
Graphic-doc.pif
document.zip
document.pif
Word.zip
Word.pif
此外蠕蟲會避開包含arcor,bigfoot,hotmail,online,web,yahoo等字元串的郵件地址。
註:%Windir%為變數,一般為C:\Windows 或 C:\Winnt;
%System%為變數,一般為C:\Windows\System (Windows 95/98/Me),
C:\Winnt\System32 (Windows NT/2000),
或 C:\Windows\System32 (Windows XP)。
