病毒名称:Win32.Sobig.D
别名:W32/Sobig.d@MM (McAfee), Win32/Sobig.D.Worm
疯狂度:低
种类:Win32
破坏性:中
类型:蠕虫
普及度:高
特性
Win32.Sobig.D是一种通过电子邮件传播的蠕虫病毒,它使用自带的SMTP引擎发送邮件,并且也通过共享驱动器传播。
传播蠕虫的邮件使用下列主题:
Re: Accepted
Re: App. 00347545-002
Application Ref: 456003
Re: Application
Your Application
Re: Documents
Re: Movies
Re: Screensaver
Re: Your Application (Ref: 003844)
附件名称可能是下面列表中的一个:
Document.pif
app003475.pif
movies.pif
ref_465.pif
Application844.pif
Screensaver.scr
Accepted.pif
Applications.pif
邮件的正文非常简单:
See the attached file for details.
蠕虫会伪造发件人地址,让邮件看起来发自不同的地方。
运行时,蠕虫会拷贝自己的副本到:%Windows%\cftrbb32.exe
蠕虫也修改下面这两个注册表键值,以便每次Windows启动这份拷贝就会自动运行:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\System MScv="%windows%\cftrb32.exe"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\System MScv="%windows%\cftrb32.exe"
注意:只有当这些注册表键值存在时,蠕虫才会修改它。所以,第2个键值在Windows98上不会存在,因为下面这个键值并不存在:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
蠕虫会搜索有下面这些扩展名的文件,以便向这些文件中的邮件地址发送带毒邮件。
txt
eml
html
htm
dbx
wab
蠕虫也尝试拷贝自己的副本到下面这两个目录,从而通过Windows的远程共享传播:
Documents and Settings\All Users\Start Menu\Programs\Startup
Windows\All Users\Start Menu\Programs\StartUp
因为蠕虫会搜索所有的共享资源,所以它会尝试将自己复制到网络中的打印机上,这可能造成打印机自动向外打印垃圾信息。
病毒的检测/清除
KILL安全胄甲 inoculateIT v23.61.53 vet 10.5/4701 版及kill 98/2000 v43.53可检测/清除此病毒。
关注此文的读者还看过:
