Worm/Sober.jh

危害等級：**

影響平台：Win9X/2000/XP/NT/Me

I-Worm/Sober.jh是經UPX壓縮的郵件群發病毒。郵件名及郵件內容以德文居多，且郵件名帶有一定的引誘性。當收件人打開附屬檔案時，會跳出一個虛假的錯誤報告激活病毒。

傳播過程及特徵：

1、以隨機檔案名稱將自己複製到系統目錄下。

2、在系統目錄下兩次創建檔案。當一個檔案被刪除時，另一個檔案會繼續創建，以達到無法被輕易刪除的目的。

3、在註冊表

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

下添加鍵值

"<所創建的隨機檔案名稱>" = "%System%\<所創建的隨機檔案名稱>.exe %1"

以達到開機自啟的目的。

4、利用特定域名伺服器獲取微軟、雅虎、google、hotmail等網站的IP位址。然後利用系統默認的域名伺服器大量傳送攜帶病毒的郵件。

5、搜尋被感染計算機上的郵件地址並進行選擇，以避開向反病毒站點等傳送郵件。

6、利用自帶的SMTP引擎向搜尋到的有效地址傳送攜帶病毒的郵件。

7、郵件附屬檔案一般以.bat .com .pif .scr .zip為擴展名。