W32.Sobig.E@mm 病毒采用邮件形式传播,病毒将搜索特定扩展名文件内的全部邮件地址,并将自己发送至这些邮件中。
邮件搜索特定扩展名:
.wab
.dbx
.htm
.html
.eml
.txt
电子邮件伪装为雅虎进行邮件发送( support@yahoo.com)。
电子邮件常规细节
电子邮件信息有以下的特性:
从: support@yahoo.com(注意到: W32.Sobig.E@mm 可以伪装发件人。 所以,发件人地址可能是任何地址,并不固定。 )
主题: 邮件主题使用如下内容之一:
Re: Application
Re: Movie
Re: Movies
Re: Submitted
Re: ScRe:ensaver
Re: Documents
Re: Re: Application ref 003644
Re: Re: Document
Your application
Application.pif
Applications.pif
movie.pif
Screensaver.scr
submited.pif
new document.pif
Re: document.pif
004448554.pif
Referer.pif
附件: 附件名称为如下列表之一:
Your_details.zip (contains Details.pif)
Application.zip (contains Application.pif)
Document.zip (contains Document.pif)
Screensaver.zip (contains Sky.world.scr)
Movie.zip (contains Movie.pif)
感染长度 :82,195 bytes (zip file), 86,528 bytes (executable)
受影响系统 : Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me
不受影响系统 : Macintosh, OS / 2, Unix, Linux
危害:
大规模发送电子邮件 : 邮件寄送地址由特定扩展名文件内收集: .wab,.dbx,.htm,.html,.eml,.txt。
泄露敏感信息:可以泄露系统信息( 包括帐户与密码 )。
电子邮件的主题 : 变化
附件的名字 : 随.zip 扩展而变化。
附件的大小 : 82,195 个字节
端口 : UDP 123, 995, 996, 997, 998, 999, 8998
共享 : 尝试通过共享资源自我传播。
將自身複製為 %Windir%\\winssk32.exe
建立下列檔案:
%Windir%\\msrrf.dat
加入值:
"SSK Service"="%Windir%\\winssk32.exe"
到登錄機碼:
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
使 W32.Sobig.E@mm 開機時可以執行.
如果作業系統為 Windows NT/2000/XP, 此蠕蟲會加入值:
"SSK Service"="%Windir%\\winssk32.exe"
到登錄機碼:
HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
列舉網路資源並將自身複製到下列資料夾:
Windows\\All Users\\Start Menu\\Programs\\StartUp
Documents and Settings\\All Users\\Start Menu\\Programs\\Startup
Sobig.E 能把任意的文件下载到被感染的计算机并且执行他们。 蠕虫的作者使用这功能性偷秘密系统信息并且开设发送同样消息到多个新闻组接替服务器在影响的计算机上。
这功能性可能也被用作自我不断改进的一条蠕虫特征。 在正确的条件下, Sobig.E 试图与服务器主人的目录之一,蠕虫的作者控制联系。 然后,蠕虫挽回它使用确定在哪里得到特洛伊木马程序文件的URL,把特洛伊木马程序文件下载到地方计算机, 然后执行它。
在Sobig.E 内,条件适合这下载试图做是如下内容:
根据UTC 时间,一周的日子一定是星期一或者星期五。
根据UTC 时间,日子的时间一定是在下午7:00 和下午11:59:59 之间
Sobig.E 获得UTC 时间通过NTP 协议,在与几可能服务器1 联系在端口123 /udp( NTP 端口) 上时。
蠕虫启动下载以寄给一探查给端口大师服务器8998 /udp 试图。 然后,有URL 的服务器答复,蠕虫能下载要执行的文件。
Sobig.E 也开以下的端口:
995 /udp
996 /udp
997 /udp
998 /udp
999 /udp
并且它在这些端口上等着听任何进来的UDP 数据报。 进来的数据报被分析,并且当与适当的签名一起得到一份数据报时,蠕虫的硕士服务器目录可能被更新。
网络管理员应该做如下内容:
在99x /udp 端口上屏避返回的通信。
在端口8998 /udp 上屏避开往外国通信。
当这些可能正来自感染的计算机时, NTP 号监视器请求( 端口123 /udp)。 (一台感染的计算机的这样的检查的频率应该每小时是一次。 )
大名鼎鼎的Symantec最新推出的,专门查杀最新病毒W32.Sobig.E@mm的专业工具!
Fixtool for W32.Sobig.E@mm
|
