Worm.Sobig.d

大无级变种D（Worm.Sobig.d）病毒档案

知识库编号： RSV0512277

内容分类： 蠕虫病毒

关键词： 大无级;sobig.d

适用操作系统：Windows 操作系统

适用操作系统补丁版本：全部补丁适用

大无级变种D（Worm.Sobig.d）病毒档案

病毒评估

警惕程度：★★★☆

发作时间：随机

病毒类型：蠕虫病毒

传播方式：局域网/邮件

感染对象：邮件

依赖系统: WIN9X//NT/2000/XP

病毒介绍

大无极变种D(Worm.SoBig.d)病毒于2003年6月19日被瑞星全球反病毒监测网截获，该变种是大无极病毒家族的第4代成员，在病毒编写技术上虽然同上几代病毒区别不大，但鉴于大无极变种B版和C版等变种已经在网络上小范围泛滥，如果不及时防范，该变种病毒很可能会使系统再次面临被病毒感染的威胁。

病毒特性

一、拷贝身到windows目录

病毒会将自身拷贝到%Windir%目录中（默认为：c:windows或c:winnt），并命名为： Cftrb32.exe，然后建立两个配置文件： dftrn32.dat 、rssp32.dat。

二、 修改注册表自启动

病毒运行时会修改注册表的自启动项：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun，在其中添加一个名为："SFtrb Service"，内容为："%Windir%cftrb32.exe"的键值，当系统重启时，病毒便会自动运行。

三、感染局域网中的计算机

当计算机连接在网络中时，病毒便会通过计算机连接，将自身拷贝到局域网中的其它计算机中的：WindowsAll UsersStart MenuProgramsStartUp 目录和Documents and SettingsAll UsersStart MenuProgramsStartup目录，当局域网中被感染的计算机重启时，病毒便会自动运行，在局域网中的其它计算机中激活。

四、通过邮件传播

病毒运行时还会搜索计算机中的.wab 、.dbx 、.htm 、.html 、.eml 、.txt类型的文件，在其中寻找有效的邮件地址，找到后，便生成病毒邮件，向外大量发送。

病毒邮件的标题为以下几种可能：

Re: Documents

Re: App. 00347545-002

Re: Movies

Application Ref: 456003

Re: Your Application (Ref: 003844)

Re: Screensaver

Re: Accepted

Your Application

病毒邮件的附件为以下几种可能：

Document.pif

app003475.pif

movies.pif

ref_456.pif

Application844.pif

Screensaver.scr

Accepted.pif

Applications.pif

Application.pif

解决方案

1、瑞星杀毒软件15.40.11以上的版本可以彻底清除此病毒。

2、下载“大无级”（Worm.Sobig）病毒专杀工具进行查杀，下载链接地址http://it.rising.com.cn/service/technology/SoBig_download.htm