Worm.Sobig.F

大無級變種F(Worm.Sobig.F)病毒檔案

知識庫編號: RSV0512279

內容分類: 蠕蟲病毒

關鍵字: 大無級;Sobig.F

適用作業系統:Windows 作業系統

適用作業系統補丁版本:全部補丁適用

大無級變種F(Worm.Sobig.F)病毒檔案

病毒評估

警惕程度:★★★★★

發作時間:隨機

病毒類型:蠕蟲病毒

傳播途徑:網路/郵件

依賴系統: WIN9X/NT/ 2000/XP

基本介紹

  • 中文名:大無級變種F
  • 外文名:Worm.Sobig.F
  • 內容分類: 蠕蟲病毒
  • 傳播途徑:網路/郵件
  • 病毒類型:蠕蟲病毒
病毒介紹,三大特性,

病毒介紹

知識庫編號: RSV0512279
關鍵字: 大無級;Sobig.F
適用作業系統:Windows 作業系統
適用作業系統補丁版本:全部補丁適用
大無級變種F(Worm.Sobig.F)病毒檔案
病毒評估
警惕程度:★★★★★
發作時間:隨機
依賴系統: WIN9X/NT/ 2000/XP
病毒介紹
該病毒有以下

三大特性

一、郵件傳播能力非常強。病毒作者在原來病毒的基礎上,做了改良,使得“大無極變種F”病毒不但會搜尋地址薄中的郵件地址,還能從網頁檔案中尋找存在的郵件地址,病毒甚至還能直接在郵件中尋找相關的郵件地址,這些特性大大增強了病毒的郵件傳播能力,從而使該病毒能在短時間內就大量泛濫。
二、病毒的區域網路傳播能力很強。病毒運行時會尋找區域網路中的其它計算機,找到後便會將自己複製到這些計算機的啟動目錄,在下次重啟時,這些計算機中的病毒便會被自動激活,然後形成連鎖反應,同時向外大量傳播並迅速耗盡郵件伺服器資源。
三、病毒具有自我升級能力。反病毒工程師還發現,該病毒運行時還會通過網路直接與外界的病毒製造者進行溝通,並通過網路直接將自身升級,這樣就可以在傳播的過程中完成變異,形成一個新的變種病毒,繼續在網路上泛濫。
病毒的發現與清除
1. 病毒運行時會參記憶體中產生一個名為:“WINPPR32”的病毒進程,用戶可以用任務管理器(CTRL+SHIFT+ESC)或第三方記憶體編輯工具來找到該病毒進程,並將這個進程殺掉。
2. 病毒運行時,會將自身複製到系統目錄,並命名為:%WINDIR%\WINPPR32.EXE,用戶可以查找該病毒檔案,然後將這個病毒檔案刪除。
注意:%Windir%是一個變數,它指的是作業系統安裝目錄,默認是:“C:\Windows”或:“c:\Winnt”,也可以是用戶在安裝作業系統時指定的其它目錄。%systemdir%是一個變數,它指的是作業系統安裝目錄中的系統目錄,默認是:“C:\Windows\system”或:“c:\Winnt\system32”。
3. 病毒會修改註冊表的HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\項,在其中加入“TrayX ="%WINDIR%\winppr32.exe /sinc"的病毒鍵值,用戶可以用REGEDIT 工具直接刪除該病毒鍵值來避免病毒的自啟動。
4. 病毒會通過網路枚舉本地區域網路資源並試圖將病毒檔案複製到系統的c$,d$,e$的Windows\All Users\Start Menu\Programs\StartUp及Documents and Settings\All Users\Start Menu\Programs\Startup的目錄中,如果用戶的計算機是區域網路中的計算機,請用戶來查看自己的以上目錄是否有病毒體,如果有,則可以直接刪除病毒檔案。
5. 該病毒將使用連線埠8998/udp向其master傳送一個探測報文,作為回響,master將返回一個URL,病毒能從此URL下載檔案,master有兩個,分別為:A.ROOT-SERVERS.NET或B.ROOT-SERVERS.NET。
6. 病毒帶有後門,將打開下列連線埠:995/udp、996/udp、997/udp、998/udp、999/udp病毒會監聽來自這些連線埠的UDP報文,並分析它,如果是病毒服務發來的升級信息,則病毒用將自己自動更新。
7. 病毒在2003年9月10日會停止傳播。
8. 該病毒會以下內容的病毒郵件,用戶如果發現,則可以直接將這些郵件刪除。
病毒郵件的主題為以下幾種可能:
Re: Thank you!
Thank you!
Your details
Re: Details
Re: Re: My details
Re: Approved
Re: Your application
Re: Wicked screensaver
Re: That movie
附屬檔案名為以下幾種可能:
your_document.pif
document_all.pif
thank_you.pif
your_details.pif
details.pif
document_9446.pif
application.pif
wicked_scr.scr
movie0045.pif
訊息正文為以下幾種可能:
Please see the attached file for details.
See the attached file for details
用戶如果在自己的計算機中發現以上全部或部分現象,則很有可能中了大無極變種F(Worm.Sobig.F)病毒。
解決方案
1、瑞星防毒軟體15.49.10以上的版本可以徹底清除此病毒。
2、下載“大無級”(Worm.Sobig)病毒專殺工具進行查殺,下載連結地址http://it.rising.com.cn/service/technology/SoBig_download.htm

相關詞條

熱門詞條

聯絡我們