基本介紹
- 中文名:Worm.SoBig.E
- 知識庫編號:RSV0512278
- 內容分類:蠕蟲病毒
- 適用作業系統:Windows 作業系統
- 關鍵字: 大無級;sobig.e
基本信息,病毒介紹,
基本信息
大無極變種E(Worm.SoBig.E)病毒檔案
大無極變種E(Worm.SoBig.E)病毒檔案
病毒評估
警惕程度:★★★★
發作時間:隨機
傳播方式:郵件/區域網路
感染對象:區域網路
依賴系統: WIN9X//NT/2000/XP?
病毒介紹
病毒運行後會將自身複製到系統目錄下,並修改註冊表進行自啟動。然後感染區域網路中的計算機,將自己放入啟動目錄,導致全網帶毒,病毒還會搜尋用戶的mail地址,向外大量傳送郵件,使網路癱瘓。
病毒的發現與清除
此病毒會有如下特徵,如果用戶發現計算機中有這些特徵,則很有可能中了此病毒:
1.病毒運行時會將自身拷貝到:%Windir%\目錄下命名為:winssk32.exe,然後在該目錄下建立一個名為msrrf.dat的病毒配置檔案。用戶可以查找計算機,找到這兩個檔案後將之刪除。
注意:%Windir%是一個變數,它指的是系統安裝目錄,默認是:“C:\Windows”或:“c:\Winnt”,也可以是用戶在安裝作業系統時指定的其它目錄。
2.病毒運行時會修改註冊表的自啟動項:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,在其中加入名稱為:SSK Service, 內容為: %Windir%\winssk32.exe的鍵值,以便下次系統啟動時病毒能自動運行。用戶可以用REGEDIT工具,將該病毒鍵值直接刪除,使病毒無法啟動。
3.病毒運行時會在記憶體中產生一個名為:winssk32的執行緒。NT以上作業系統的用戶可以用任務管理器直接將該進程殺掉,9X作業系統的用戶則只能用第三方軟體如PROCVIEW等殺掉該病毒進程。
4.病毒會搜尋區域網路中的計算機,如果發現有默認共享的計算機,則病毒會將自身拷貝到這些計算機中的:Windows\All Users\Start Menu\Programs\StartUp、Documents and Settings\All Users\Start Menu\Programs\Startup目錄中。用戶可以檢查一下這些目錄,看是否存在上面提到的病毒體,如果有則可以直接清除。
5.病毒會搜尋磁碟中的*.web,*.txt,*.dbx*.htm,*.html及*.eml檔案,並從中提取出mail地址進行郵件傳播,
郵件的發信人可能為:[email protected]
郵件的標題可能為:
· Re: Application
· Re: Movie
· Re: Movies
· Re: Submitted
· Re: ScRe:ensaver
· Re: Documents
· Re: Re: Application ref 003644
· Re: Re: Document
· Your application
· Application.pif
· Applications.pif
· movie.pif
· Screensaver.scr
· submited.pif
· new document.pif
· Re: document.pif
· 004448554.pif
· Referer.pif
郵件的附屬檔案可能為:
·your_details.zip
·application.zip
·document.zip
·screensaver.zip
·movie.zip
沒有安裝防毒軟體的用戶如果收到這樣的郵件,則可以直接刪除這此郵件。
用戶如果在自己的計算機中發現以上全部或部分現象,則很有可能中了大無極變種E(Worm.SoBig.E)病毒。
解決方案
1、瑞星防毒軟體15.41.20以上的版本可以徹底清除此病毒。
2、下載“大無級”(Worm.Sobig)病毒專殺工具進行查殺,下載連結地址http://it.rising.com.cn/service/technology/SoBig_download.htm
