I-Worm/Sober.f

王朝百科·作者佚名  2010-01-30  
宽屏版  字体: |||超大  

I-Worm/Sober.f

病毒长度:42,496 bytes

病毒类型:网络蠕虫

危害等级:**

影响平台:Win9X/2000/XP/NT/Me

I-Worm/Sober.f是用VB编写并经UPX压缩的网络蠕虫,作为邮件附件发送进行传播,邮件的主题和正文都是变化的一般使用语言为英文或德文。

传播过程及特征:

1.复制自身为:%System%<随机文件名>.exe

<随机文件名>从下列表中选择:

sys

host

dir

explorer

win

run

log

32

disc

crypt

data

diag

spool

service

smss32

2.修改注册表:

/添加键值:"<任意值" = "%System%<随机文件名>.exe

到注册表:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun<random filename>

/添加键值:"<任意值>" = "%System%<随机文件名>.exe %1"

到注册表:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce

3.生成下列文件:

%System%zmndpgwf.kxx

%System%zhcarxxi.vvx

%System%cegfds.lll

%System%syst32win.dll

%System%winsys32xx.zzp

%System%winhex32xx.wrm

%System%spoofed_recips.ocx

4.如果系统不能连接网络,则会利用拨号进行连接并出现下列对话框:

Microsoft Windows

STOP: 0x80070725 {FatalSystemError}

System File [filename].exe

Connection lost or blocked by Firewall

5.在驱动器上扫描下列类型文件,从中搜索邮件地址,并将找到的邮件地址保存在%System%syst32win.dll下。:

.abc .abd .abx .adb .ade .adp .adr .asp .bas .cfg

.cgi .cls .ctl .dbx .dhtm .doc .dsp .dsw .eml

.fdb .frm .hlp .ini .jsp .ldb .dif .log .mbx

.mda .mdb .mde .mdw .mdx .mht .mmf .msg .nab

.nch .nfo .nsf .ods .oft .php .pl .pp .ppt .pst

.rtf .shtml .sln .tbb .txt .uin .vap .vbs .wab

.wsh .xls .xml

利用自带的SMTP引擎发送自身到上述地址,邮件发件人、正文和附件名都是变化的,一般用英文或德文表达。

注:%Windir%为变量,一般为C:Windows 或 C:Winnt;

%System%为变量,一般为C:WindowsSystem (Windows 95/98/Me),

C:WinntSystem32 (Windows NT/2000), 或

C:WindowsSystem32 (Windows XP)。

 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
© 2005- 王朝百科 版权所有