引用 | 編輯
HK003
2005-05-05 21:54 |
樓主
|
||
x0
最新電郵病毒W32.Sober.P@mmWin32.Sober.N, Sober.P, W32/Sober.p@MM, Sober.O@mm, W32/Sober-N, W32.Sober.O@mm, WORM_SOBER.S, Email-Worm.Win32.Sober.p 內容 W32.Sober.P@mm 是 Sober 系列的一個新變種。它是一種大量傳送電子郵件的蠕蟲,從受感染的電腦上收集電郵地址,然後經自己的SMTP 引擎投寄出去。這些電郵採用的語言可能是英文或德文。詳細電郵特徵,請參考 附錄。 當蠕蟲檔案被啟動,它會顯示以下的訊息視窗: 蠕蟲會將自己複制到 %Windows%\Connection Wizard\Status 資料夾並命名為以下的檔案名稱: csrss.exe smss.exe services.exe 它亦會在 %Windir%\Connection Wizard\Status 資料夾建立以下的檔案: packed1.sbr packed2.sbr packed3.sbr sacri1.ggg sacri2.ggg sacri3.ggg voner1.von voner2.von voner3.von sysonce.tst fastso.ber 和在 %System% 資料夾建立以下的檔案: adcmmmmq.hjg langeinf.lin nonrunso.ber seppelmx.smx xcvfpokd.tqa 然後,它會建立以下的登錄索引值令到系統每次啟動時自動執行: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run WinStart = "%Windows%\Connection Wizard\Status\services.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run WinStart = "%Windows%\Connection Wizard\Status\services.exe" 破壞力 將自己以電郵附件方式傳送到從受感染電腦上搜集回來的電郵地址。 蠕蟲在傳送前會先掃描特定的延伸檔案來收集硬碟上的電郵地址。以下延伸類型的檔案會被掃瞄: pmr stm slk inbox imb csv bak imh xhtml imm imh cms nws vcf ctl dhtm cgi pp ppt msg jsp oft vbs uin ldb abc pst cfg mdw mbx mdx mda adp nab fdb vap dsp ade sln dsw mde frm bas adr cls ini ldif log mdb xml wsh tbb abx abd adb pl rtf mmf doc ods nch xls nsf txt wab eml hlp mht nfo php asp shtml dbx 蠕蟲會忽略電郵地址包含以下的字串: -dav .dial. .kundenserver. .ppp. .qmail@ .sul.t- @arin @avp @ca. @example. @foo. @from. @gmetref @iana @ikarus. @kaspers @messagelab @nai. @panda @smtp. @sophos @www abuse announce antivir anyone anywhere bellcore. bitdefender clock detection domain. emsisoft ewido. free-av freeav ftp. gold-certs host. icrosoft. ipt.aol law2 linux mailer-daemon mozilla mustermann@ nlpmail01. noreply nothing ntp- ntp. ntp@ office password postmas reciver@ secure service smtp- somebody someone spybot sql. subscribe support t-dialin t-ipconnect test@ time user@ variabel verizon. viren virus whatever@ whoever@ winrar winzip you@ yourname 如果蠕蟲傳送電郵到網域的尾部是 '.at', '.ch', '.de', '.gmx.de', '.gmx.at', '.gmx.net', '.gmx.ch' 或 '.li',它會編寫成德文信息,否則會編寫成英文信息。 它會嘗試連接不同的時間伺服器 (TCP 37): cuckoo.neveda.edu ntp.lth.se ntp.massayonet.com.br ntp.pads.ufrj.br ntp1.arnes.si ntp-1.ece.cmu.edu ntp-2.ece.cmu.edu rolex.peachnet.edu rolex.usg.edu sundial.columbia.edu tim.kfki.hu time.nist.gov time.windows.com time.xmission.com time-a.timefreq.bldrdoc.gov time-ext.missouri.edu time-ext.missouri.edu timelord.ureqina.ca time-server.ndo.com utcnist.colorado.edu 它可能會在受感染的電腦上,刪除附合以下名稱的檔案: a*.exe luc*.exe ls*.exe luu*.exe 解決方案 1. 偵測及清除蠕蟲 更新病毒防護軟件的病毒清單,並用病毒防護軟件去偵測和清除此病毒。 如果你沒有安裝任何電腦病毒防護軟件,你可以下載以下任何一個清除病毒的工具程式進行清除。 Mcafee http://download.nai.com/products/mcafee-avert/stinger.exe Symantec http://securityresponse.symantec.com/avcenter/venc/data/w32.sober.removal.tool.html 注意:請根據防毒軟件公司的指引來清除病毒和修復系統。 x0
|