I-Worm/Sober.g
病毒長度:49,661 位元組(壓縮後) 184,829 位元組(解壓後)病毒類型:網路蠕蟲
危害等級:**
影響平台:Win9X/2000/XP/NT/Me/2003
I-Worm/Sober.g是用UPX壓縮的並用Visual Basic編寫的網路蠕蟲,通過使用自己的SMTP引擎進行傳播。它發出的郵件具有變化的主題、正文和附屬檔案名稱,這些郵件使用英文或德文編寫。
傳播過程及特徵:
1.生成檔案:
%System%\bcegfds.lll
%System%\cvqaikxt.apk
%System%\DATSobex.wwr
%System%\wincheck32.dats
%System%\winexpoder.dats
%System%\winzweier.dats
%System%\xdatxzap.zxp
%System%\zhcarxxi.vvx
%System%\NoSpam.readme
複製自身為:
%System%\<string>.exe
註:<string>為下列之一(下同):
sys ,host ,dir ,explorer ,win ,run ,
log ,32 ,disc ,crypt ,data ,diag ,spool ,
service ,smss32
2.修改註冊表:
/添加鍵值:"<string>" = "<蠕蟲路徑> %1"
到註冊表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
/添加鍵值:"<string>"="<蠕蟲路徑>.exe"
到註冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
3.在TCP連線埠37連線遠程HOST,通過HTTP下載檔案,將下載的檔案存儲為%System%\doerkggg.exe並執行。
4.從所有固定硬碟上的某些類型的檔案中搜尋郵件地址:
pmr stm slk inbox imb csv bak imh xhtml imm imh
cms NWS vcf ctl dhtm cgi pp ppt msg jsp oft vbs
uin ldb abc pst cfg mdw mbx mdx mda adp nab fdb
vap dsp ade sln dsw mde frm bas adr cls ini ldif
log mdb xml wsh tbb abx abd adb pl rtf mmf doc
ods nch xls nsf txt wab eml hlp mht nfo php asp
shtml dbx
利用自帶的SMTP引擎傳送自身到上述地址,並避免向各大信息及安全廠商傳送郵件,郵件具有變化的主題、正文和附屬檔案名稱,附屬檔案可能有.bat, .com, .pif, .scr,.zip 等擴展名,或者為雙擴展名,這些郵件使用英文或德文編寫。
5.用系統默認的DNS伺服器或自帶的得到目的主機IP。
註:%Windir%為變數,一般為C:\Windows 或 C:\Winnt;
%System%為變數,一般為C:\Windows\System (Windows 95/98/Me),
C:\Winnt\System32 (Windows NT/2000),
或 C:\Windows\System32 (Windows XP)。