Worm.Sober.l

Worm.Sober.l

Worm.Sober.l是一種蠕蟲病毒。該病毒通過電子郵件傳播。會自動嘗試連線網路,搜尋感染機器的Email地址,並偽裝成發信失敗的信件,傳送給找到的郵件地址,誘使收信用戶運行病毒郵件的附屬檔案。

基本介紹

  • 軟體名稱:Worm.Sober.l
  • 更新時間:2005-03-08
  • 軟體大小:30,720 位元組
  • 處理時間:2005-03-08
  • 影響系統:Win9x / WinNT
  • 病毒類型蠕蟲
  • 威脅級別:★★
病毒信息,附屬檔案名,

病毒信息

1 病毒生成以下檔案
%SystemRoot%\msagent\system\smss.exe (病毒自身)
%ystemRoot%\msagent\system\zipzip.zab (病毒的BASE64編碼,用於發附屬檔案使用)
%ystemRoot%\msagent\system\emdata.mmx (病毒搜尋到的郵件地址)
%System%\nonrunso.ber
%System%\xcvfpokd.tqa
%System%\stopruns.zhz
2 嘗試在註冊表中添加
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Services.dll" = ".exe"
使得病毒能在每次計算機啟動時運行。
3 嘗試中止含有以下字元進程
gcas
gcip
giantanti
stinger
hijackthis
4 在以下後綴名檔案中搜尋電子郵件地址
.abc
.abd
.abx
.adb
.ade
.adp
.adr
.asp
.bak
.bas
.cfg
.cgi
.cls
.cms
.csv
.ctl
.dbx
.dhtm
.doc
.dsp
.dsw
.eml
.fdb
.frm
.hlp
.imb
.imh
.imh
.imm
.inbox
.ini
.jsp
.ldb
.ldif
.log
.mbx
.mda
.mdb
.mde
.mdw
.mdx
.mht
.mmf
.msg
.nab
.nch
.nfo
.nsf
.nws
.ods
.oft
.php
.phtm
.pl
.pmr
.pp
.ppt
.pst
.rtf
.shtml
.slk
.sln
.stm
.tbb
.txt
.uin
.vap
.vbs
.vcf
.wab
.wsh
.xhtml
.xls
.xml
5、過濾郵件地址,減緩反病毒公司樣本時間
-dav
.dial.
.kundenserver.
.ppp.
.qmail@
.sul.t-
@arin
@avp
@ca.
@example.
@foo.
@from.
@gmetref
@iana
@ikarus.
@kaspers
@messagelab
@nai.
@panda
@smtp.
@sophos
@www
abuse
announce
antivir
anyone
anywhere
bellcore.
bitdefender
clock
detection
domain.
emsisoft
ewido.
free-av
freeav
ftp.
gold-certs
google
host.
icrosoft.
ipt.aol
law2
linux
mailer-daemon
mozilla
mustermann@
nlpmail01.
noreply
nothing
ntp-
ntp.
ntp@
office
password
postmas
reciver@
secure
service
smtp-
somebody
someone
spybot
sql.
subscribe
support
t-dialin
t-ipconnect
test@
time
user@
variabel
verizon.
viren
virus
whatever@
whoever@
winrar
winzip
you@
yourname
6 向找到的地址傳送如下形式的附屬檔案
英文:
主題:
Your Password & Account number
內容:
hi,
i've got an admin mail with a Password and Account info!
but the mail recipient are you! it's probably an esmtp error, i think.
i've copied the full mail text in the Windows text-editor & zipped.
ok, cya...
附屬檔案名:
acc_text.zip
德文:
主題:
Ich habe Ihre E-Mail bekommen!
內容:
Hallo,
jemand schickt ihre privaten Mails auf meinem Account.
Ich schaetze mal, das es ein Fehler vom Provider ist.
Insgesamt waren es jetzt schon 6 Mails!
Ich habe alle Mail-Texte im Texteditor kopiert und gezippt.
Wenn es doch kein Fehler vom Provider ist, sorge dafuer das diese Dinger nicht mehr auf meinem Account landen, es Nervt naemlich.
Gruss

附屬檔案名

MailTexte.zip

相關詞條

熱門詞條

聯絡我們