該病毒與上一版本病毒(Worm.Sobig.B)相比,除了對其體內的字元串進行了加密處理外,最值得關注的是病毒限制自身傳播的現象。
基本介紹
- 中文名:Worm.Sobig.c
- 知識庫編號:RSV0512276
- 內容分類:蠕蟲病毒
- 中文名稱:大無極變種C
基本信息,病毒介紹,病毒特徵,解決方案,
基本信息
大無級變種C(Worm.Sobig.c)病毒檔案
知識庫編號: RSV0512276
適用作業系統:Windows 作業系統
適用作業系統補丁版本:全部補丁適用
大無級變種C(Worm.Sobig.c)病毒檔案
病毒介紹
瑞星命名:Worm.SoBig.C
該病毒與上一版本病毒(Worm.Sobig.B)相比,除了對其體內的字元串進行了加密處理外,最值得關注的是病毒限制自身傳播的現象。瑞星的反病毒工程師在分析該病毒時發現,該病毒體內有一段時間判斷代碼。這在近期發現的病毒中是極其少見的,更為奇怪的是,這段時間判斷代碼不是病毒發作的條件,而是病毒對自身傳播的限制條件,當系統時間大於2003年6月8日時,病毒將自動停止傳播。
探究病毒“自殘”的原因,瑞星資深反病毒專家分析說:“從病毒編寫邏輯上講,病毒作者肯定是希望其編寫的病毒能夠廣泛傳播,而這個病毒的一反常態,顯示了一個危險的信號,就是該病毒只是一個測試版本,不久的將來,病毒編寫者還會推出更厲害的新版本”。一般病毒編寫者僅僅進行病毒編寫,不會分階段地進行測試,而這個大無極病毒變種6月8日自動失效的這個特性,表明了病毒編寫已經進入“標準化”、“流程化”的正規階段,這說明了一個新的病毒時代即將到來,而反病毒廠商的反病毒之路則更加艱辛。
病毒特徵
一、拷貝自身
該病毒運行後,會將自己複製到Window目錄下,命名為:mscvb32.exe,並修改註冊表的自啟動項進行自啟動。
二、加密自身數據
該病毒對其體內的字元串進行了加密處理,增加了病毒分析的難度。
三、感染區域網路
病毒會搜尋本地區域網路資源,並試圖將病毒檔案複製到區域網路計算機中的:c$,d$,e$共享下的Windows\All Users\Start Menu\Programs\StartUp及Documents and Settings\All Users\Start Menu\Programs\Startup目錄,增大病毒啟動機會。
四、郵件傳播
病毒會搜尋磁碟中的*.web,*.txt,*.dbx*.htm,*.html及*.eml檔案,並從中提取出mail地址進行郵件傳播,郵件的標題可能為:
Re: Submited (004756-3463)
Re: Your application
Re: Movie
Re: 45443-343556
Re: Application
…
病毒郵件的附屬檔案名可能為:
screensaver.scr
submited.pif
documents.pif
movie.pif
45443.pif
application.pif
