Worm.Sobig.b

大无极变种B(Worm.Sobig.b)病毒档案

知识库编号： RSV0512273

内容分类： 蠕虫病毒

关键词： 大无级;Sobig.b

适用操作系统：Windows 操作系统

适用操作系统补丁版本：全部补丁适用

“大无极变种B”(Worm.Sobig.b)病毒档案

病毒评估

警惕程度：★★★★

发作时间：随机

病毒类型：蠕虫病毒

传播方式：网络/邮件/局域网

感染对象：局域网

病毒介绍

该病毒于2003年5月18日起开始在全球泛滥，5月19日登陆我国，它运行时会复制自己到系统目录中，修改注册表进行自启动，同时向外发送大量病毒邮件，占用系统资源。

该病毒除了通过邮件、局域网进行快速传播以外，它还会在后台连接病毒指定的四个网站，在这四个网站上下载病毒文件并运行，这样以来，大大增加了该病毒的扩展性。如果病毒作者将该病毒的更新版本放入网站，那么被感染计算机上的病毒就会不定时地升级自身，完成新的变形，使反病毒软件无法查出；如果病毒作者直接将一些木马病毒放入这些网站，则被感染计算机上的病毒就会成为这些病毒的帮凶，因此，该病毒对企事业单位有更大的危害性。

病毒的发现与清除

此病毒会有如下特征，如果用户发现计算机中有这些特征，则很有可能中了此病毒：

1. 病毒运行时会将自身复制到系统目录下，命名为：msccn32.exe。

2. 病毒会修改注册表，在HKEY_LOCAL_MACHINESoftwareMicrosoftWindows

CurrentVersionRun启动项中添加键值System Tray,该键值的内容是病毒的文件路径，这样在下一次启动计算机时，病毒会自动运行。

3. 病毒会遍历局域网，并尝试把自己复制到其它计算机的WindowsAll UsersStart MenuProgramsStartUp及Documents and SettingsAll UsersStart MenuProgramsStartup,用户可以查看这些目录。

4. 病毒会搜索硬盘上的所有*.web,*.txt,*.dbx，*.htm,*.html及*.eml的文件，从中提取出email地址，然后向这些地址发送含病毒的邮件。该病毒邮件有以下标题：Your details、Approved (Ref: 38446-263)、Re: Approved (Ref: 3394-65467)、Your password、Re: My details、Screensaver Cool screensaver、Re: Movie、Re: My application。

用户如果在自己的计算机中发现以上全部或部分现象，则很有可能中了“大无极变种” (Worm.Sobig.b)病毒。用户可以手工删除以上提到的病毒文件和注册表键值，但如果要想完全清除该病毒造成的影响，最好还是选用杀毒软件进行清除。

解决方案

1、瑞星杀毒软件15.36.01以上的版本可以彻底清除此病毒。

2、下载“大无级”（Worm.Sobig）病毒专杀工具进行查杀，下载链接地址http://it.rising.com.cn/service/technology/SoBig_download.htm