I-Worm/Sober.f简介_I-Worm/Sober.f个人资料_I-Worm/Sober.f微博_百科网
A-A+

I-Worm/Sober.f简介_I-Worm/Sober.f个人资料_I-Worm/Sober.f微博

2016-11-26 00:40:27 科学百科 阅读 2 次

名称/I-Worm/Sober.f 编辑

I-Worm/Sober.f
病毒长度:42,496 bytes
病毒类型:网络蠕虫危害等级:**

内容/I-Worm/Sober.f 编辑

影响平台:Win9X/2000/XP/NT/Me
I-Worm/Sober.f是用VB编写并经UPX压缩的网络蠕虫,作为邮件附件发送进行传播,邮件的主题和正文都是变化的一般使用语言为英文或德文。
传播过程及特征:
1.复制自身为:%System%<随机文件名>.exe
<随机文件名>从下列表中选择:
sys
host
dir
explorer
win
run
log
32disc
crypt
data
diagspool
service
smss32
2.修改注册表:
/添加键值:"<任意值" = "%System%<随机文件名>.exe
到注册表:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun<random filename>
/添加键值:"<任意值>" = "%System%<随机文件名>.exe %1"
到注册表:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce
3.生成下列文件:
%System%zmndpgwf.kxx
%System%zhcarxxi.vvx
%System%bcegfds.lll
%System%syst32win.dll
%System%winsys32xx.zzp
%System%winhex32xx.wrm
%System%spoofed_recips.ocx
4.如果系统不能连接网络,则会利用拨号进行连接并出现下列对话框:
Microsoft Windows
STOP: 0x80070725  
System File 【filename】.exe
Connection lost or blocked by Firewall
5.在驱动器上扫描下列类型文件,从中搜索邮件地址,并将找到的邮件地址保存在%System%syst32win.dll下。:
.abc .abd .abx .adb .ade .adp .adr .asp .bas .cfg
.cgi .cls .ctl .dbx .dhtm .doc .dsp .dsw .eml
.fdb .frm .hlp .ini .jsp .ldb .dif .log .mbx
.mda .mdb .mde .mdw .mdx .mht .mmf .msg .nab
.nch .nfo .nsf .ods .oft .php .pl .pp .ppt .pst
.rtf .shtml .sln .tbb .txt .uin .vap .vbs .wab
.wsh .xls .xml
利用自带的SMTP引擎发送自身到上述地址,邮件发件人、正文和附件名都是变化的,一般用英文或德文表达。


备注/I-Worm/Sober.f 编辑

注:%Windir%为变量,一般为C:Windows 或 C:Winnt;

%System%为变量,一般为C:WindowsSystem (Windows 95/98/Me),
C:WinntSystem32 (Windows NT/2000), 或

C:WindowsSystem32 (Windows XP)。