广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 3901 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
HK003
个人头像
个人文章 个人相簿 个人日记 个人地图
初露锋芒
级别: 初露锋芒 该用户目前不上站
推文 x0 鲜花 x18
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[病毒蠕虫] 最新电邮病毒W32.Sober.P@mm
最新电邮病毒W32.Sober.P@mm
Win32.Sober.N, Sober.P, W32/Sober.p@MM, Sober.O@mm, W32/Sober-N, W32.Sober.O@mm, WORM_SOBER.S, Email-Worm.Win32.Sober.p
内容

W32.Sober.P@mm 是 Sober 系列的一个新变种。它是一种大量传送电子邮件的蠕虫,从受感染的电脑上收集电邮地址,然后经自己的SMTP 引擎投寄出去。这些电邮采用的语言可能是英文或德文。详细电邮特征,请参考 附录。

当蠕虫档案被启动,它会显示以下的讯息视窗:



蠕虫会将自己复制到 %Windows%\Connection Wizard\Status 资料夹并命名为以下的档案名称:

csrss.exe
smss.exe
services.exe

它亦会在 %Windir%\Connection Wizard\Status 资料夹建立以下的档案:

packed1.sbr
packed2.sbr
packed3.sbr
sacri1.ggg
sacri2.ggg
sacri3.ggg
voner1.von
voner2.von
voner3.von
sysonce.tst
fastso.ber

和在 %System% 资料夹建立以下的档案:

adcmmmmq.hjg
langeinf.lin
nonrunso.ber
seppelmx.smx
xcvfpokd.tqa

然后,它会建立以下的登录索引值令到系统每次启动时自动执行:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
WinStart = "%Windows%\Connection Wizard\Status\services.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
WinStart = "%Windows%\Connection Wizard\Status\services.exe"

破坏力

将自己以电邮附件方式传送到从受感染电脑上搜集回来的电邮地址。
蠕虫在传送前会先扫描特定的延伸档案来收集硬碟上的电邮地址。以下延伸类型的档案会被扫瞄:
pmr
stm
slk
inbox
imb
csv
bak
imh
xhtml
imm
imh
cms
nws
vcf
ctl
dhtm
cgi
pp
ppt
msg
jsp
oft
vbs
uin
ldb
abc
pst
cfg
mdw
mbx
mdx
mda
adp
nab
fdb
vap
dsp
ade
sln
dsw
mde
frm
bas
adr
cls
ini
ldif
log
mdb
xml
wsh
tbb
abx
abd
adb
pl
rtf
mmf
doc
ods
nch
xls
nsf
txt
wab
eml
hlp
mht
nfo
php
asp
shtml
dbx

蠕虫会忽略电邮地址包含以下的字串:
-dav
.dial.
.kundenserver.
.ppp.
.qmail@
.sul.t-
@arin
@avp
@ca.
@example.
@foo.
@from.
@gmetref
@iana
@ikarus.
@kaspers
@messagelab
@nai.
@panda
@smtp.
@sophos
@www
abuse
announce
antivir
anyone
anywhere
bellcore.
bitdefender
clock
detection
domain.
emsisoft
ewido.
free-av
freeav
ftp.
gold-certs
google
host.
icrosoft.
ipt.aol
law2
linux
mailer-daemon
mozilla
mustermann@
nlpmail01.
noreply
nothing
ntp-
ntp.
ntp@
office
password
postmas
reciver@
secure
service
smtp-
somebody
someone
spybot
sql.
subscribe
support
t-dialin
t-ipconnect
test@
time
user@
variabel
verizon.
viren
virus
whatever@
whoever@
winrar
winzip
you@
yourname

如果蠕虫传送电邮到网域的尾部是 '.at', '.ch', '.de', '.gmx.de', '.gmx.at', '.gmx.net', '.gmx.ch' 或 '.li',它会编写成德文信息,否则会编写成英文信息。
它会尝试连接不同的时间伺服器 (TCP 37):
cuckoo.neveda.edu
ntp.lth.se
ntp.massayonet.com.br
ntp.pads.ufrj.br
ntp1.arnes.si
ntp-1.ece.cmu.edu
ntp-2.ece.cmu.edu
rolex.peachnet.edu
rolex.usg.edu
sundial.columbia.edu
tim.kfki.hu
time.nist.gov
time.windows.com
time.xmission.com
time-a.timefreq.bldrdoc.gov
time-ext.missouri.edu
time-ext.missouri.edu
timelord.ureqina.ca
time-server.ndo.com
utcnist.colorado.edu
它可能会在受感染的电脑上,删除附合以下名称的档案:
a*.exe
luc*.exe
ls*.exe
luu*.exe
解决方案

1. 侦测及清除蠕虫

更新病毒防护软件的病毒清单,并用病毒防护软件去侦测和清除此病毒。

如果你没有安装任何电脑病毒防护软件,你可以下载以下任何一个清除病毒的工具程式进行清除。

Mcafee
http://download.nai.com/product...t/stinger.exe

Symantec
http://securityresponse.symantec.com/avcente...r.removal.tool.html

注意:请根据防毒软件公司的指引来清除病毒和修复系统。




献花 x0 回到顶端 [楼 主] From:香港 特别行政区 | Posted:2005-05-05 21:54 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.052055 second(s),query:15 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言