|
病毒名称:Win32.Sobig.F
别名:I-Worm.Sobig.f (Kaspersky) ,W32.Sobig.F@mm
(Symantec),W32/Sobig.F (F-Secure) ,W32/Sobig.f@MM
(McAfee),WORM_SOBIG.F (Trend)
类型:Win32
种类:Worm
疯狂度:高
破坏性:低
传播性:高
特性:
Win32.Sobig.F是一种通过电子邮件传播的蠕虫病毒,它使用自带的SMTP引擎发送邮件。
病毒所发送的邮件一般会使用以下主题:
Re: Thank you!
Thank you!
Your details
Re: Details
Re: Re: My details
Re: Approved
Re: Your application
Re: Wicked screensaver
Re: That movie
邮件的内容可能是:
Please see the attached file for details. 或 See the attached
file for details
病毒所携带的附件文件将是以下之一:
your_document.pif
document_all.pif
thank_you.pif
your_details.pif
details.pif
document_9446.pif
application.pif
wicked_scr.scr
movie0045.pif
该蠕虫病毒会伪造发件人地址,让邮件看起来发自不同地方。
蠕虫会搜索有下面这些扩展名的文件,以便向这些文件中的邮件地址发送带毒邮件:
txt、eml、html、htm、dbx、wab
病毒的感染方式:
运行时,蠕虫会拷贝自己的副本到:%Windows%\winPPR32.exe 同时,它也会在Windows目录下创建另一个文件%Windows%WINSTT32.DAT 注意:'%Windows%'是一个可变地址。蠕虫通过向操作系统询问的方式来确定当前窗口的位置。默认的安装路径:Windows2000和NT是C:\Winnt;Windows95,98和ME是C:\Windows;XP是C:\Windows
蠕虫也修改下面的注册表键值,以便每次Windows启动这份拷贝就会自动运行:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\TrayX =
"C:\WINDOWS\winppr32.exe /sinc"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\TrayX =
"C:\WINDOWS\winppr32.exe /sinc"
注意:只有当这些注册表键值存在时,蠕虫才会修改它。所以,第2个键值在Windows98上并不会被修改,因为这个键值在Win98上通常并不存在。
另外:代码显示,蠕虫将在2003年9月10日前停止传播。
检测/清除:
KILL安全胄甲 inoculateIT v 23.62.27 版及kill 98/2000
44.27可检测/清除此病毒。
附加专用清除工具: >> 下载ClnSobig.zip
<< ,它可以清除该电脑上的的Win32.Sobig.F,
这个杀毒程序是针对非CA
电脑安全用户,或是使用老版本产品无法杀灭该病毒的用户。
在运行ClnSobig.com之前,请阅读该程序附带的ReadMe.txt
|
