基本介紹
- 中文名:Worm.Sober.i
- 威脅級別:★★★
- 病毒類型:蠕蟲
- 影響系統:Win9x / WinNT
簡介,在註冊表中添加如下鍵值,病毒運行後,會彈出一個對話框,病毒會從以下擴展名檔案中搜尋電子郵件地址,病毒會過濾含有以下字元的電子郵件,病毒傳送郵件可能為以下之一,
簡介
%System%\clonzips.ssc(Base64編碼)
%System%\zippedsr.piz(Base64編碼)
%System%\clsobern.isc(Base64編碼)
%System%\nonzipsr.noz(Base64編碼)
%System%\%Rand1%.exe(病毒本身)
%System%\%Rand2%.exe(病毒本身)
在註冊表中添加如下鍵值
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
%Rand3% = "%System%\%Rand1%.exe"
%Rand4% = "%System%\%Rand2%.exe %srun%"
病毒運行後,會彈出一個對話框
“WinZip_Data_Module is missing ~Error:{2A0DCCF6}”
病毒會從以下擴展名檔案中搜尋電子郵件地址
abc
abd
abx
adb
ade
adp
adr
aero
asp
bak
bas
cfg
cgi
cls
cms
com
coop
csv
ctl
dbx
dhtm
doc
dsp
dsw
edu
eml
fdb
frm
gov
hlp
imb
imh
imh
imm
inbox
info
ini
jsp
ldb
ldif
log
mbx
mda
mdb
mde
mdw
mdx
mht
mmf
msg
museum
nab
name
nch
net
nfo
nsf
nws
ods
oft
org
php
pl
pmr
pp
ppt
pro
pst
rtf
shtml
slk
sln
stm
tbb
txt
uin
vap
vbs
vcf
wab
wsh
xhtml
xls
xml
病毒會過濾含有以下字元的電子郵件
.dial.
.kundenserver.
.ppp.
.qmail@
.sul.t-
@arin
@avp
@ca.
@example.
@foo.
@from.
@gmetref
@iana
@ikarus.
@kaspers
@messagelab
@msn
@nai.
@panda
@smtp.
@sophos
@spiegel.
@www
abuse
announce
antivir
anyone
anywhere
bellcore.
bitdefender
clock
-dav
detection
domain.
emsisoft
ewido.
freeav
free-av
ftp.
gold-certs
google
host.
icrosoft.
ipt.aol
law2
linux
mailer-daemon
me@
mozilla
msdn.
mustermann@
nlpmail01.
noreply
nothing
ntp-
ntp@
office
password
postmas
reciver@
redaktion
secure
service
smtp-
somebody
someone
spybot
sql.
subscribe
support
t-dialin
time
t-ipconnect
user@
variabel
verizon.
viren
virus
whatever@
whoever@
winrar
winzip
you@
yourname
病毒傳送郵件可能為以下之一
主題:
hi there
hey dude!
wazzup!!!
yeah dude :P
Details
Oh God it's
damn!
Registration confirmation
Confirmation
Your Password
Your mail account
Delivery failure notice
Faulty mail delivery
Mail delivery failed
Mailing Error
Illegal signs in E-Mail
Invalid mail length
Mail Delivery failure
mail delivery status
Warning!
error in dbase
DBase Error
ups, i've got your mail
Sorry, that's your mail
why do you do that?
Life's a Bitch
Smiling Like a Killer
lol,wat'nlosey?
Informationvon
FalscheMailzustellung
FehlerinIhrerE-Mail
IhreE-Mailwarfehlerhaft
ESMTPError
UngültigeVariableninihrerE-Mail
Verbindungwurdegetrennt
Mail_Fehler
IhrneuerAccount
NeueAccountDaten
Siehabennichtgezahlt
Rechnung
Hi,seivorsichtig!
Achtung!gef?hrlicherVirus!
Schongeh?rt?
DieTools!
DeinZeug's!
Hierfürdich^^
BestellungsBest?tigung
Lieferungs-Best?tigung
Ok,hieristmein
Ichhabemichindichv
7、內容為以下的組合:
I was surprised, too!
Who_could_suspect_something_like_that? shityiiiii
Your password was changed successfully!
Protected message is attached!
_delivery_error
_does_not_like_
_failed_after_I_sent_the_message
_Requested_action_not_taken
Anti_Virus: No Virus was found
Attachment: No Virus found
disabled
discontinued
Giving_up_on_
Mail_Scanner: No Virus
MAILBOX NOT FOUND
mailbox_unavailable
recipient.
Remote_host_said:
sender.
This_account_has_been_
Diese Information ist gesch
Da Sie uns Ihre Pers
Viel Vergn
****
Im I-Net unter: http://www.%damin%
Diese Information ist geschützt durch ein Passwort!
Da Sie uns Ihre Pers?nlichen Daten zugesandt haben, ist das Passwort Ihr Geburts- Datum.
Viel Vergnügen mit unserem Angebot!
****
Im I-Net unter: http://www.%damin%
Folgende Fehler wurden aufgezeichnet:
STOP mailer
Aus Datenschutzrechtlichen Gründen, darf die vollst?ndige E-Mail incl. Daten nur angeh?ngt werden.
Wir bitten Sie, dieses zu berücksichtigen.
Automatic-Mail.Config#:
Guten Tag,
da unsere Datenbanken leider durch einen Programm Fehler zerst?rt wurden, mussten wir leider eine ?nderung bezüglich Ihrer Nutzungs- Daten vornehmen. Ihre ge?nderten Account Daten, befinden Sie im beigefügten Dokument.
Vielen Dank für Ihr Verst?ndnis.
*-*-* Mail_Scanner: No Virus
*-*-* %damin%- Anti_Virus Service
*-*-* http://www.%damin%
++++++ User-Service: http://www.%damin%
++++++ MailTo: postmaster %damin%
------<> GmbH & Co. KG
------ Send-To: [email protected]
------ www.%damin%
*-*-* X-MS_Scanner: Kein Virus erkannt
*-*-* Attachment-Scanner: NO VIRUS
*-*-* Anti_Virus: Es wurde kein Virus gefunden
*-*-* <域名>- Anti_Virus Service
*-*-* http://www.%damin%
8、附屬檔案名可能為以下之一:
%damin%
auto__mail
im_shocked
