基本介紹
- 中文名:Worm.Sober.q
- 威脅級別:二星
- 病毒類型:蠕蟲
- 影響系統:Win9x / WinNT
簡介,病毒行為,
簡介
病毒別名:Email-Worm.Win32.Sober.q(AVP)
病毒行為
1.在%windir%\help\help下產生以下三個大小相同的檔案(64120位元組):
csrss.exe
services.exe
smss.exe
2.在%windir%\system32資料夾下產生Spammer.ReadMe檔案(170位元組),內
容如下:
Ich bin immer noch kein Spammer!
Aber sollte vielleicht einer werden :)
In diesem Sinne
上面的兩個網址是兩條關於sober病毒的新聞,中間的德語大致意思是:我即
將成為spammer(不正當地使用網路來作為廣播媒體傳送相同的訊息給大量未
要求傳送訊息的使用者的人)。
3.病毒在註冊表啟動項
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
添加鍵值
SystemBoot="%windir%\help\help\services.exe"
達到自啟動的目的。
3.病毒嘗試修改exe檔案的關聯項:
HKCR\exefile\shell\open\command
達到自啟動的目的。
4.病毒掃描具有以下後綴的檔案
pmr,phtm,stm,slk,inbox,imb,csv,bak,imh,xhtml,imm ,imh,cms,nws,vcf,ctl,dhtm,cgi
pp,ppt,msg,jsp,oft,vbs,uin,ldb,abc,pst,cfg,mdw,mbx,mdx,mda,adp,nab,fdb,vap,dsp
ade,sln,dsw,mde,frm,bas,adr,cls,ini,ldif,log,mdb,xml,wsh,tbb,abx,abd,adb,pl,rtf
mmf,doc,ods,nch,xls,nsf,txt,wab,emlhlp,mht,nfo,php,asp,shtml,dbx
從中獲取e-mail地址,並傳送郵件。
