廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 3919 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
HK003
個人頭像
個人文章 個人相簿 個人日記 個人地圖
初露鋒芒
級別: 初露鋒芒 該用戶目前不上站
推文 x0 鮮花 x18
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[病毒蠕蟲] 最新電郵病毒W32.Sober.P@mm
最新電郵病毒W32.Sober.P@mm
Win32.Sober.N, Sober.P, W32/Sober.p@MM, Sober.O@mm, W32/Sober-N, W32.Sober.O@mm, WORM_SOBER.S, Email-Worm.Win32.Sober.p
內容

W32.Sober.P@mm 是 Sober 系列的一個新變種。它是一種大量傳送電子郵件的蠕蟲,從受感染的電腦上收集電郵地址,然後經自己的SMTP 引擎投寄出去。這些電郵採用的語言可能是英文或德文。詳細電郵特徵,請參考 附錄。

當蠕蟲檔案被啟動,它會顯示以下的訊息視窗:



蠕蟲會將自己複制到 %Windows%\Connection Wizard\Status 資料夾並命名為以下的檔案名稱:

csrss.exe
smss.exe
services.exe

它亦會在 %Windir%\Connection Wizard\Status 資料夾建立以下的檔案:

packed1.sbr
packed2.sbr
packed3.sbr
sacri1.ggg
sacri2.ggg
sacri3.ggg
voner1.von
voner2.von
voner3.von
sysonce.tst
fastso.ber

和在 %System% 資料夾建立以下的檔案:

adcmmmmq.hjg
langeinf.lin
nonrunso.ber
seppelmx.smx
xcvfpokd.tqa

然後,它會建立以下的登錄索引值令到系統每次啟動時自動執行:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
WinStart = "%Windows%\Connection Wizard\Status\services.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
WinStart = "%Windows%\Connection Wizard\Status\services.exe"

破壞力

將自己以電郵附件方式傳送到從受感染電腦上搜集回來的電郵地址。
蠕蟲在傳送前會先掃描特定的延伸檔案來收集硬碟上的電郵地址。以下延伸類型的檔案會被掃瞄:
pmr
stm
slk
inbox
imb
csv
bak
imh
xhtml
imm
imh
cms
nws
vcf
ctl
dhtm
cgi
pp
ppt
msg
jsp
oft
vbs
uin
ldb
abc
pst
cfg
mdw
mbx
mdx
mda
adp
nab
fdb
vap
dsp
ade
sln
dsw
mde
frm
bas
adr
cls
ini
ldif
log
mdb
xml
wsh
tbb
abx
abd
adb
pl
rtf
mmf
doc
ods
nch
xls
nsf
txt
wab
eml
hlp
mht
nfo
php
asp
shtml
dbx

蠕蟲會忽略電郵地址包含以下的字串:
-dav
.dial.
.kundenserver.
.ppp.
.qmail@
.sul.t-
@arin
@avp
@ca.
@example.
@foo.
@from.
@gmetref
@iana
@ikarus.
@kaspers
@messagelab
@nai.
@panda
@smtp.
@sophos
@www
abuse
announce
antivir
anyone
anywhere
bellcore.
bitdefender
clock
detection
domain.
emsisoft
ewido.
free-av
freeav
ftp.
gold-certs
google
host.
icrosoft.
ipt.aol
law2
linux
mailer-daemon
mozilla
mustermann@
nlpmail01.
noreply
nothing
ntp-
ntp.
ntp@
office
password
postmas
reciver@
secure
service
smtp-
somebody
someone
spybot
sql.
subscribe
support
t-dialin
t-ipconnect
test@
time
user@
variabel
verizon.
viren
virus
whatever@
whoever@
winrar
winzip
you@
yourname

如果蠕蟲傳送電郵到網域的尾部是 '.at', '.ch', '.de', '.gmx.de', '.gmx.at', '.gmx.net', '.gmx.ch' 或 '.li',它會編寫成德文信息,否則會編寫成英文信息。
它會嘗試連接不同的時間伺服器 (TCP 37):
cuckoo.neveda.edu
ntp.lth.se
ntp.massayonet.com.br
ntp.pads.ufrj.br
ntp1.arnes.si
ntp-1.ece.cmu.edu
ntp-2.ece.cmu.edu
rolex.peachnet.edu
rolex.usg.edu
sundial.columbia.edu
tim.kfki.hu
time.nist.gov
time.windows.com
time.xmission.com
time-a.timefreq.bldrdoc.gov
time-ext.missouri.edu
time-ext.missouri.edu
timelord.ureqina.ca
time-server.ndo.com
utcnist.colorado.edu
它可能會在受感染的電腦上,刪除附合以下名稱的檔案:
a*.exe
luc*.exe
ls*.exe
luu*.exe
解決方案

1. 偵測及清除蠕蟲

更新病毒防護軟件的病毒清單,並用病毒防護軟件去偵測和清除此病毒。

如果你沒有安裝任何電腦病毒防護軟件,你可以下載以下任何一個清除病毒的工具程式進行清除。

Mcafee
http://download.nai.com/product...t/stinger.exe

Symantec
http://securityresponse.symantec.com/avcente...r.removal.tool.html

注意:請根據防毒軟件公司的指引來清除病毒和修復系統。




獻花 x0 回到頂端 [樓 主] From:香港 特別行政區 | Posted:2005-05-05 21:54 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.014369 second(s),query:15 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言