病毒名稱
Win32.Sobig其它名稱
WORM_Sobig.A, W32.Sobig.A@mm病毒屬性
蠕蟲病毒危害性:中等危害流行程度:高具體介紹
Win32.Sobig是一種使用自己的引擎通過e-mail及共享驅動器傳播的蠕蟲。傳播蠕蟲的郵件使用下列主題:
Re: Here is that sampleRe: DocumentRe: Sample
Re: Movies
附屬檔案名稱可能是下面列表中的一個:
Sample.pif
Untitled1.pif
Document003.pif
Movie_0074.mpeg.pif
郵件的正文非常簡單:
Attached file:
運行時,蠕蟲會拷貝自己的副本到:
%windows%\winmgm32.exe
蠕蟲也修改下面這兩個註冊表鍵值,以便每次Windows啟動這份拷貝就會自動運行:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WindowsMGM="%windows%\winmgm32.exe"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WindowsMGM="%windows%\winmgm32.exe"
注意:只有當這些註冊表鍵值存在時,蠕蟲才會修改註冊表。所以,第2個鍵值在Windows98上不會存在,因為下面這個鍵值並不存在:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
蠕蟲會搜尋有下面這些擴展名的檔案,以便向這些檔案中的郵件地址傳送e-mail。
txt
eml
html
htm
dbx
wab
蠕蟲也嘗試拷貝自己的副本到下面這個地方,從而傳播到Windows的遠程共享:
Documents and Settings\All Users\Start Menu\Programs\Startup Windows\All Users\Start Menu\Programs\StartUp
蠕蟲會嘗試從www.geocities.com站點上下載檔案,而這個檔案則包含了蠕蟲下載以及運行的另外一個網際網路地址。這個檔案以"dwn.dat"為檔案名稱被保存在Windows目錄下。運行後,這個下載檔案其實就是Win32.Zasil trojan.木馬的一個變種。