最新電郵病毒W32.Sober.P@mmWin32.Sober.N, Sober.P, W32/Sober.p@MM, Sober.O@mm, W32/Sober-N, W32.Sober.O@mm, WORM_SOBER.S, Email-Worm.Win32.Sober.p
內容
W32.Sober.P@mm 是 Sober 系列的一個新變種。它是一種大量傳送電子郵件的蠕蟲,從受感染的電腦上收集電郵地址,然後經自己的SMTP 引擎投寄出去。這些電郵採用的語言可能是英文或德文。詳細電郵特徵,請參考 附錄。
當蠕蟲檔案被啟動,它會顯示以下的訊息視窗:
蠕蟲會將自己複制到 %Windows%\Connection Wizard\Status 資料夾並命名為以下的檔案名稱:
csrss.exe
smss.exe
services.exe
它亦會在 %Windir%\Connection Wizard\Status 資料夾建立以下的檔案:
packed1.sbr
packed2.sbr
packed3.sbr
sacri1.ggg
sacri2.ggg
sacri3.ggg
voner1.von
voner2.von
voner3.von
sysonce.tst
fastso.ber
和在 %System% 資料夾建立以下的檔案:
adcmmmmq.hjg
langeinf.lin
nonrunso.ber
seppelmx.smx
xcvfpokd.tqa
然後,它會建立以下的登錄索引值令到系統每次啟動時自動執行:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
WinStart = "%Windows%\Connection Wizard\Status\services.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
WinStart = "%Windows%\Connection Wizard\Status\services.exe"
破壞力
將自己以電郵附件方式傳送到從受感染電腦上搜集回來的電郵地址。
蠕蟲在傳送前會先掃描特定的延伸檔案來收集硬碟上的電郵地址。以下延伸類型的檔案會被掃瞄:
pmr
stm
slk
inbox
imb
csv
bak
imh
xhtml
imm
imh
cms
nws
vcf
ctl
dhtm
cgi
pp
ppt
msg
jsp
oft
vbs
uin
ldb
abc
pst
cfg
mdw
mbx
mdx
mda
adp
nab
fdb
vap
dsp
ade
sln
dsw
mde
frm
bas
adr
cls
ini
ldif
log
mdb
xml
wsh
tbb
abx
abd
adb
pl
rtf
mmf
doc
ods
nch
xls
nsf
txt
wab
eml
hlp
mht
nfo
php
asp
shtml
dbx
蠕蟲會忽略電郵地址包含以下的字串:
-dav
.dial.
.kundenserver.
.ppp.
.qmail@
.sul.t-
@arin
@avp
@ca.
@example.
@foo.
@from.
@gmetref
@iana
@ikarus.
@kaspers
@messagelab
@nai.
@panda
@smtp.
@sophos
@www
abuse
announce
antivir
anyone
anywhere
bellcore.
bitdefender
clock
detection
domain.
emsisoft
ewido.
free-av
freeav
ftp.
gold-certs
google
host.
icrosoft.
ipt.aol
law2
linux
mailer-daemon
mozilla
mustermann@
nlpmail01.
noreply
nothing
ntp-
ntp.
ntp@
office
password
postmas
reciver@
secure
service
smtp-
somebody
someone
spybot
sql.
subscribe
support
t-dialin
t-ipconnect
test@
time
user@
variabel
verizon.
viren
virus
whatever@
whoever@
winrar
winzip
you@
yourname
如果蠕蟲傳送電郵到網域的尾部是 '.at', '.ch', '.de', '.gmx.de', '.gmx.at', '.gmx.net', '.gmx.ch' 或 '.li',它會編寫成德文信息,否則會編寫成英文信息。
它會嘗試連接不同的時間伺服器 (TCP 37):
cuckoo.neveda.edu
ntp.lth.se
ntp.massayonet.com.br
ntp.pads.ufrj.br
ntp1.arnes.si
ntp-1.ece.cmu.edu
ntp-2.ece.cmu.edu
rolex.peachnet.edu
rolex.usg.edu
sundial.columbia.edu
tim.kfki.hu
time.nist.gov
time.windows.com
time.xmission.com
time-a.timefreq.bldrdoc.gov
time-ext.missouri.edu
time-ext.missouri.edu
timelord.ureqina.ca
time-server.ndo.com
utcnist.colorado.edu
它可能會在受感染的電腦上,刪除附合以下名稱的檔案:
a*.exe
luc*.exe
ls*.exe
luu*.exe
解決方案
1. 偵測及清除蠕蟲
更新病毒防護軟件的病毒清單,並用病毒防護軟件去偵測和清除此病毒。
如果你沒有安裝任何電腦病毒防護軟件,你可以下載以下任何一個清除病毒的工具程式進行清除。
Mcafee
http://download.nai.com/product...t/stinger.exeSymantec
http://securityresponse.symantec.com/avcente...r.removal.tool.html注意:請根據防毒軟件公司的指引來清除病毒和修復系統。