Worm_Sober.N

蠕蟲運行後,顯示一下對話框,看上去是一個錯誤信息。同時,在%Windir%\Connection Wizard\Status\和%system%目錄下生成多個檔案。蠕蟲在被感染用戶的系統內搜尋多種擴展名的檔案,找到電子郵件地址,並使用的自帶的SMTP向這些地址傳送帶毒的電子郵件。

基本介紹

  • 中文名:Worm_Sober.
  • 外文名:Sober.P
  • 感染系統:Win9x/WinNT/Win2000
  • 病毒長度:53,554位元組
簡介,病毒特徵,生成檔案,修改註冊表項,傳播路徑,

簡介

Sober.P [F-Secure]
W32/Sober.p@MM [McAfee]
W32/Sober-N [Sophos]
W32.Sober.O@mm[Symantec]
WORM_SOBER.S [Trend Micro]

病毒特徵

生成檔案

蠕蟲運行後,顯示一下對話框,看上去是一個錯誤信息。同時,達影拔辣在%Windir%\Connection Wizard\Status\和%system%目錄下生成多個檔案。(其中,%Windows% 為作業系統的安裝目錄,通常為 C:\Windows 或 C:\WINNT)
%Windir%\Connection Wizard\Status\csrss.exe
%Windir%\Connection Wizard\Status\packed1.sbr
%Windir%\Connection Wizard\Status\packed2.sbr
%Windir%\Connection Wizard\Status\packed3.sbr
%Windir%\Connection Wizard\Status\services.exe
%Windir%\Connection Wizard\Status\smss.exe
%Windir%\Connection Wizard\Status\sacri1.ggg
%Windir%\Connection Wizard\Status\sacri2.ggg
%Windir%\Connection Wizard\Status\sacri3.ggg
%Windir%\Connection Wizard\Status\voner1.von
%Windir%\Connection Wizard\Status\voner2.von
%Windir%\Connection Wizard\Status\voner3.von
%Windir%\Connection Wizard\Status\sysonce.tst
%Windir%\Connection Wizard\Status\fastso.ber
%System%\adcmmmmq.hjg
%System%\langeinf.lin
%System%\nonrunso.ber
%System%\seppelmx.smx
%System%\xcvfpokd.tqa

修改註冊表項

病毒創建註冊表項,使得自身能夠在系統啟動時自動運行,在
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下創建
"WinStart" = "%Windows%\Connection Wizard\Status\services.exe";
在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run下創建
"_WinStart" = "%Windows%\Connection Wizard\Status\services.exe"

傳播路徑

通過電子郵件進行傳播,蠕蟲在被感染用戶的系統內搜尋多種擴展名的檔案,找到電子郵件地址,並使用的自帶的SMTP向這些糠慨糠去地台凳煉址發定匪歡送帶毒的電子郵件。
電子葛愚嬸郵件格式如下:
英文
發信人:(為下列之一)
Admin
Hostmaster
Info
Postmaster
Register
Service
Webmaster
主題:(為下列微己之一)
Re:Your Password
Re:Registration Confirmation
Re:Your email was blocked
Re:mailing error
Re:
內容:分為兩部詢鴉拘分
第一部分(為下列之一)
ok ok ok,,,,, here is it
Account and Password Information are attached!
Visit: http:/ /www.[random domain]
This is an automatically generated E-Mail Delivery Status Notification.
Mail-Header, Mail-Body and Error Description are attached
第二部分(為下列之一)
Attachment-Scanner: Status OK
AntiVirus: No Virus found
Server-AntiVirus: No Virus (Clean)
http:/ / www.[random domain]
附屬檔案:(為下列之一)
our_secret.zip
mail_info.zip
error-mail_info.zip
account_info.zip
account_info-text.zip
德文
主題:(為下列之一)
Ihr Passwort
Mail-Fehler!
Ihre E-Mail wurde verweigert
Ich bin's, was zum lachen ;)
Glueckwunsch: Ihr WM Ticket
WM Ticket Verlosung
WM-Ticket-Auslosung
內容:分為兩部分
第一部分(為下列之一)
Passwort und Benutzer-Informationen befinden sich in der beigefuegten Anlage.
http:/ /www.[random domain]
*-* MailTo: PasswordHelp
Diese E-Mail wurde automatisch erzeugt
Mehr Information finden Sie unter http:/ /www.[random domain]
Folgende Fehler sind aufgetreten:
Fehler konnte nicht Explicit ermittelt werden
Aus Datenschutzrechtlichen Gruenden, muss die vollstaendige E-Mail incl. Daten gezippt & angehaengt werden.
Wir bitten Sie, dieses zu beruecksichtigen.
Auto ReMailer#
Nun sieh dir das mal an
Was ein Ferkel ....
Herzlichen Glueckwunsch,
beim Run auf die begehrten Tickets fr die 64 Spiele der Weltmeisterschaft 2006 in Deutschland sind Sie
dabei.Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.
St. Rainer Gellhaus
--- Pressesprecher Jens Grittner und Gerd Graus
--- FIFA Fussball-Weltmeisterschaft 2006
--- Organisationskomitee Deutschland
--- Tel. 069 / 2006 - 2600
--- [email protected]
--- [email protected]
第二部分(為下列之一)
Mail-Scanner: Es wurde kein Virus festgestellt
AntiVirus: Kein Virus gefunden
AntiVirus-System: Kein Virus erkannt
WebSite: http:/ /www.[random domain]
附屬檔案:(為下列之一)
Mail-Scanner: Es wurde kein Virus festgestellt
AntiVirus: Kein Virus gefunden
AntiVirus-System: Kein Virus erkannt
WebSite: http:/ /www.[random domain]

相關詞條

熱門詞條

聯絡我們