Worm.Sobig.f
2008-02-23 09:19:07来源:互联网 阅读 ()
病毒名称:
Worm.Sobig.f
类别: 蠕虫病毒
病毒资料:
破坏方法:
蠕虫“Worm.Sobig”新变种此病毒是病毒“大无极”新变种,VC++编写,Telock压缩;
1.此变种通过自己的SMTP引擎发送邮件传播,它发送Email包含如下信息:
主题一般为:
Re: Thank you!
Thank you!
Your details
Re: Details
Re: Re: My details
Re: Approved
Re: Your application
Re: Wicked screensaver
Re: That movie
附件名为:
your_document.pif
document_all.pif
thank_you.pif
your_details.pif
details.pif
document_9446.pif
application.pif
wicked_scr.scr
movie0045.pif
消息正文可能为:
Please see the attached file for details.
或
See the attached file for details
2.病毒将从下列扩展名的文件中搜索Email地址:
txt
eml
Html
htm
dbx
wab
3.病毒一旦运行,将复制自己到系统目录:
%WINDIR%\WINPPR32.EXE
其中%WINDIR%可能为c:\Windows或c:\winnt
病毒通过网络枚举本地局域网资源并试图将病毒文件复制到
系统的c$,d$,e$的Windows\All Users\Start Menu\Programs\StartUp
及Documents and Settings\All Users\Start Menu\Programs\Startup目录。
该病毒将使用端口8998/udp向其master发送一个探测报文,作为响应,master将返回一个URL,病毒能从此URL下载文件,master有两个,分别为:A.ROOT-SERVERS.NET或B.ROOT-SERVERS.NET病毒带有后门,将打开下列端口:
995/udp
996/udp
997/udp
998/udp
999/udp
它监听来自这些端口的UDP报文,并分析之,病毒用此来自动更新
4.病毒在2003年9月10日停止传播。
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run\TrayX
"%WINDIR%\winppr32.exe /sinc"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run\TrayX
"%WINDIR%\winppr32.exe /sinc"
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。
发现日期: 2003-8-20
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
上一篇:Worm.Welchia
下一篇:Worm.RPC.Zerg
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash
