W32.Sober.I @mm病毒分析
该病毒依靠大规模邮件传输,自带SMTP引擎将自身发送到所有在受感染系统中搜集到的地址。
邮件标题为英文或德文,并且随机变化,邮件发送地址采取哄骗的手段,邮件附件名称同样随机变化,扩展名为.bat,.com.pif,.scr或者.zip,另外,附件可以为双扩展名。
它由Microsoft Visual Basic写成,使用UPX压缩。
其他命名:Win32.Sober.I [Computer Associates], Sober.I [F-Secure], I-Worm.Sober.i [Kaspersky], W32/Sober.j @MM [McAfee], W32/Sober.I @mm[Norman], W32/Sober.I.worm [Panda], W32/Sober-I [Sophos], WORM_SOBER.I [Trend]
病毒类型:蠕虫
病毒长度:56,808字节
受影响系统:Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
风险指数:
破坏能力:
传播能力:
警报指数:
该病毒发作时:
1,显示如下信息:
"WinZip_Data_Module is missing ~Error: {[一串随机数字]}"
2,在%System%目录下使用如下字符组合创建两个文件:
sys
host
dir
expoler
win
run
log
32
disc
crypt
data
diag
spool
service
smss32
提示:%System%目录为:
C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), 或 C:\Windows\System32 (Windows XP).
3,创建如下文件:
%System%\nonzipsr.noz
%System%\clonzips.ssc
%System%\clsobern.isc
%System%\sb2run.dii
%System%\winsend32.dal
%System%\winroot64.dal
%System%\zippedsr.piz
%System%\winexerun.dal
%System%\winmprot.dal
%System%\dgssxy.yoi
%System%\cvqaikxt.apk
%System%\sysmms32.lla
%System%\Odin-Anon.Ger
4,在如下注册表项中:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
添加如下键值:
"[随机名称]" = "%System%\[随机病毒文件名].exe"
"[随机名称]" = "%System%\[随机病毒文件名].exe %srun%"
5,如果当时日期超过2005年1月5日,病毒将尝试从下列多个位置的域名下载并执行一个文件:
http://home.arcor.de/worm-sober/
http://home.arcor.de/pageyado/
http://home.arcor.de/newpage/
http://scifi.pages.at/sec_i_ze_q/
http://scifi.pages.at/protected_chanel/
http://home.pages.at/nido_mruw/
http://free.pages.at/piks-for-all/
http://free.pages.at/freeware-on-net/
http://people.freenet.de/goetterbote5555/
http://people.freenet.de/angisweb/
http://people.freenet.de/schmink-tipps/
http://people.freenet.de/myfunside/
http://people.freenet.de/solberx/
http://people.freenet.de/myfreeweb/
http://people.freenet.de/dianemaus/
目前尚未发现在有下载并执行的情况发生,上述地址也没有文件可供访问
6,从受感染的计算机中收集邮件地址,同时避开含有下述字符串的邮件地址:
office
@www
@from.
support
redaktion
smtp-
@smtp.
gold-certs
ftp.
.dial.
.ppp.
anyone
subscribe
announce
@gmetref
sql.
someone
nothing
you@
user@
reciver@
somebody
secure
msdn.
me@
whatever@
whoever@
anywhere
yourname
mustermann@
.kundenserver.
mailer-daemon
variabel
password
-dav
law2
.sul.t-
.qmail@
t-ipconnect
t-dialin
ipt.aol
time
postmas
service
freeav
@ca.
abuse
winrar
domain.
host.
viren
bitdefender
spybot
detection
ewido.
emsisoft
linux
google
@foo.
winzip
@example.
bellcore.
@arin
mozilla
@iana
@avp
@msn
icrosoft.
@spiegel.
@sophos
@panda
@kaspers
free-av
antivir
virus
verizon.
@ikarus.
@nai.
@messagelab
nlpmail01.
clock
track.
www.
members.
clicks.
refer.
……够 长……
[下一页]
7,使用37端口联系NTP服务器,或者解析如下域名之一。
microsoft.com
bigfoot.com
yahoo.com
t-online.de
google.com
hotmail.com
ns1.interplanet.com.mx
8,使用自带的SMTP引擎将自身发送至所有在受感染计算机中搜集到的邮件地址,邮件消息为英文或德文,内容如下:
来源: (哄骗地址) 它可以是受感染计算机中搜集到的地址之一,或者使用格式:编造的发送者名称 @ 接收者域名,发送者名称为如下之一:
Info
FehlerMail
Webmaster
ReMailer
Lisa
Peter
Michael
Thomas
Elke
Susi
Nadine
Benutzer-Daten
Information
Service
Hilfe
Webmaster
Hostmaster
Postmaster
User-Info
标题: (如下之一)
hi there
hey dude!
wazzup!!!
yeah dude :P
Details
Oh God it''s
damn!
#
Registration confirmation
Confirmation
Your Password
Your mail account
Delivery failure notice
Faulty mail delivery
Mail delivery failed
Mailing Error
Illegal signs in E-Mail
Invalid mail length
Mail Delivery failure
mail delivery status
Warning!
error in dbase
DBase Error
ups, i''ve got your mail
Sorry, that''s your mail
why do you do that?
Life''s a Bitch
Smiling Like a Killer
lol,wat''nlosey?
Informationvon
FalscheMailzustellung
FehlerinIhrerE-Mail
IhreE-Mailwarfehlerhaft
ESMTPError
UngültigeVariableninihrerE-Mail
Verbindungwurdegetrennt
Mail_Fehler
IhrneuerAccount
NeueAccountDaten
Siehabennichtgezahlt
Rechnung
Hi,seivorsichtig!
Achtung!gefährlicherVirus!
Schongehört?
DieTools!
DeinZeug''s!
Hierfürdich^^
BestellungsBestätigung
Lieferungs-Bestätigung
Ok,hieristmein
Ichhabemichindichv
内容: (如下内容)
++++ User-Service: http:/ /www.<sender''s domain>
++++ MailTo: postmaster@<sender''s domain>
Your password was changed successfully.
Protected message is attached.
This account_hast_been_disabled.
_failed_after_I_sent_the_message.
Diese Information ist geschützt duch ein Passwort!
Da Sie uns Ihre Persönlichen Daten zugesandt haben, ist das Passwort Ihr Geburts-Datum.
Viel vergnügen mit unserem Angebot!
Im I-Net unter: http:www.[domain]
Aus Datenschutzrechtlichen Gründen, darf die vollständige E''Mail incl. Daten nur angehängt werden.
Wir bitten Sie, dieses zu berücksichtigen.
GmBH & Co. KG
Da unsere Datenbanken leider durch einen Programm Fehler zerstört wurden, mussten wir leider eine änderung bezüglich Ihrer Nutzungs- Daten vornehmen.
Ihre geänderten Account Daten, befinden sich im beigefügten Dokument.
---------------------------------------------------------
This mail was generated automatically.
More info about --GAYNET-- under: http:/ /www.gaynet.ch
-------
Occured_Errors:
[IP]_does_not_like_recipient.
# 440: MAILBOX NOT FOUND
End
-------
The full mail is attached.
Auto_Mail.System: [gaynet]
*-*-* Mail_Scanner: No Virus
*-*-* SYMANTEC- Anti_Virus Service
*-*-* http://www.symantec.com(装成诺顿,呵呵,看你还不中招)
---------------------------------------------------------
I was surprised, too!
Who_could_suspect_something_like_that? sh*tyiiiii
---------------------------------------------------------
--------------This mail was generated automatically.
More info about --HOTMAIL-- under: http:/ /www.hotmail.com
-------
Occured_Errors:
[IP]_does_not_like_sender.
# 153: Giving_up_on_[IP]
End
-------
The full mail is attached.
Auto_Mail.System: [hotmail]
*-*-* Mail_Scanner: No Virus
*-*-* SYMANTEC- Anti_Virus Service
---------------------------------------------------------
附件: (如下之下,以 .pif, .zip, .scr, .bat or .com 作为扩展名: )
im_shocked
oh_nono
thats_hard
mail
auto_mail
re-mail_system
Error_mail
附件也有可以是如下格式: [接收地址所在的域].[第一个扩展名].zip 第一个扩展名为如下之一:
.txt
.doc
.word
.xls
.eml
.TXT
.DOC
.EML
解决方法:
该病毒手工清除极为困难,请使用杀软件清除
