

W32.Sober.I@mm ,其散播方式为使用自身的 SMTP 引擎将自己当作电子邮件附件传送出去。 

该电子邮件的「主旨:」和「内文:」会随之改变,而且是以英文或德文编写成。 

伪装寄件者之电子邮件地址中的 <寄件者> 

附件使用 .pif, .scr, .bat or .com或 zip 扩展名,也可能有两个扩展名。

此威胁是以 Microsoft Visual Basic 编写而且是以 UPX 压缩而成。


注意: [快速发布」的定义档 38560 版或更新版本可侦测此威胁。 

也称为: WORM_SOBER.I [Trend], W32/Sober-I [Sophos], W32/Sober.j@MM [McAfee], Sobor.I [Panda] 

类型: Worm 
感染长度: 56808 bytes 



受影响的系统: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 







Beta 版病毒定义
2004.11.19


病毒定义 (Intelligent Updater)*
2004.11.19


病毒定义 (LiveUpdate™) **
2004.11.19


*
Intelligent Updater 病毒定义会每天发布一次，并需要手动下载和安装。
单击这里以进行手动下载。

**
LiveUpdate 病毒定义通常会在每周三发布。
单击这里，可获得使用 LiveUpdate 的说明







广度 

感染数量: 0 - 49 
站点数量: 大于 10 
地理分布: 中度 
威胁遏制: 容易 
消除威胁能力: 容易 
威胁度量


广度:
高度
损坏程度:
低度
分发:
中度



损坏程度 

有效载荷触发器: n/a 
有效载荷: n/a 
大量电子邮件发送: Sends a mass-mailing. 
删除文件: n/a 
修改文件: n/a 
降低性能: n/a 
造成系统不稳定: n/a 
发布保密信息: n/a 
危及安全设置: n/a 
分发 

电子邮件主题: Varies 
附件名称: Varies 
附件大小: n/a 
附件的时戳: n/a 
端口: TCP port 37. 
共享驱动器: n/a 
感染目标: n/a 



当 W32.Sober.D@mm 执行时,它会执行下列操作:

显示下列消息:

"WinZip_Data_Module is missing ~Error: {[random number]}"



在 %System% 文件夹中使用下列字符串名安装两个档:

sys 
host 
dir 
expoler 
win 
run 
log 
32 
disc 
crypt 
data 
diag 
spool 
service 
smss32

注意:%System% 代表变量。病虫会找到 System 数据夹并将自己复制过去。预设的位置是 C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000) 或 C:\Windows\System32 (Windows XP)。 


安装下列档:

%System%\nonzipsr.noz 
%System%\clonzips.ssc 
%System%\clsobern.isc 
%System%\sb2run.dii 
%System%\winsend32.dal 
%System%\winroot64.dal 
%System%\zippedsr.piz 
%System%\winexerun.dal 
%System%\winmprot.dal 
%System%\dgssxy.yoi 
%System%\cvqaikxt.apk 
%System%\sysmms32.lla 
%System%\Odin-Anon.Ger


将值:

"[random value name]" = "%System%\[random worm file name].exe"
"[random value name]" = "%System%\[random worm file name].exe %srun%"

添加到以下注册表键:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

因此,当 Windows 启动时,病虫就会启动。

注意: 该 <随机值>(random value name)是病虫使用下列字符串所组成的字符串:

sys 
host 
dir 
expoler 
win 
run 
log 
32 
disc 
crypt 
data 
diag 
spool 
service 
smss32 
x

下载并执行档. 


扫描受感染计算机寻找电子邮件地址: 该病虫会跳过包含以下字符串的电子邮件地址:

office 
@www 
@from. 
support 
redaktion 
smtp- 
@smtp. 
gold-certs 
ftp. 
.dial. 
.ppp. 
anyone 
subscribe 
announce 
@gmetref 
sql. 
someone 
nothing 
you@ 
user@ 
reciver@ 
somebody 
secure 
msdn. 
me@ 
whatever@ 
whoever@ 
anywhere 
yourname 
mustermann@ 
.kundenserver. 
mailer-daemon 
variabel 
password 
-dav 
law2 
.sul.t- 
.qmail@ 
t-ipconnect 
t-dialin 
ipt.aol 
time 
postmas 
service 
freeav 
@ca. 
abuse 
winrar 
domain. 
host. 
viren 
bitdefender 
spybot 
detection 
ewido. 
emsisoft 
linux 
google 
@foo. 
winzip 
@example. 
bellcore. 
@arin 
mozilla 
@iana 
@avp 
@msn 
icrosoft. 
@spiegel. 
@sophos 
@panda 
@kaspers 
free-av 
antivir 
virus 
verizon. 
@ikarus. 
@nai. 
@messagelab 
nlpmail01. 
clock 
track. 
www. 
members. 
clicks. 
refer. 


连接至ntp服务器埠号37或联结至下列网域之一来检测网络连结:

microsoft.com 
bigfoot.com 
yahoo.com 
t-online.de 
google.com 
hotmail.com 
ns1.interplanet.com.mx



通过SMTP 引擎将自己传送到在上述步骤收集到的电子邮件地址。 电子邮件为德语或英语并具有以下特征:

伪装寄件者之电子邮件地址中的 <随机寄件者> 是从下列清单中随机挑选的:

Info 
FehlerMail 
Webmaster 
ReMailer 
Lisa 
Peter 
Michael 
Thomas 
Elke 
Susi 
Nadine 
Benutzer-Daten 
Information 
Service 
Hilfe 
Webmaster 
Hostmaster 
Postmaster 
User-Info 


主旨:(以下所列德语或英语字符串之一)

hi there 
hey dude! 
wazzup!!! 
yeah dude :P 
Details 
Oh God it's 
damn! 
# 
Registration confirmation 
Confirmation 
Your Password 
Your mail account 
Delivery failure notice 
Faulty mail delivery 
Mail delivery failed 
Mailing Error 
Illegal signs in E-Mail 
Invalid mail length 
Mail Delivery failure 
mail delivery status 
Warning! 
error in dbase 
DBase Error 
ups, i've got your mail 
Sorry, that's your mail 
why do you do that? 
Life's a Bitch 
Smiling Like a Killer 
lol,wat'nlosey? 
Informationvon 
FalscheMailzustellung 
FehlerinIhrerE-Mail 
IhreE-Mailwarfehlerhaft 
ESMTPError 
UngültigeVariableninihrerE-Mail 
Verbindungwurdegetrennt 
Mail_Fehler 
IhrneuerAccount 
NeueAccountDaten 
Siehabennichtgezahlt 
Rechnung 
Hi,seivorsichtig! 
Achtung!gefährlicherVirus! 
Schongehört? 
DieTools! 
DeinZeug's! 
Hierfürdich^^ 
BestellungsBestätigung 
Lieferungs-Bestätigung 
Ok,hieristmein 
Ichhabemichindichv 


内文:(以下所列德语或英语字符串之一)

++++ User-Service: http://www.<sender's domain>
++++ MailTo: postmaster@<sender's domain>

Your password was changed successfully.

Protected message is attached.


This account_hast_been_disabled.

_failed_after_I_sent_the_message.


Diese Information ist geschützt duch ein Passwort!

Da Sie uns Ihre Persönlichen Daten zugesandt haben, ist das Passwort Ihr Geburts-Datum.

Viel vergnügen mit unserem Angebot!

Im I-Net unter: http:www.[domain]

Aus Datenschutzrechtlichen Gründen, darf die vollständige E'Mail incl. Daten nur angehängt werden.

Wir bitten Sie, dieses zu berücksichtigen.

GmBH & Co. KG

Da unsere Datenbanken leider durch einen Programm Fehler zerstört wurden, mussten wir leider eine änderung bezüglich Ihrer Nutzungs- Daten vornehmen.
Ihre geänderten Account Daten, befinden sich im beigefügten Dokument.

---------------------------------------------------------

This mail was generated automatically.
More info about --GAYNET-- under: http://www.gaynet.ch

-------
Occured_Errors:

[IP]_does_not_like_recipient.
# 440: MAILBOX NOT FOUND

End
-------

The full mail is attached.

Auto_Mail.System: [gaynet]


*-*-* Mail_Scanner: No Virus
*-*-* SYMANTEC- Anti_Virus Service
*-*-* http://www.symantec.com

---------------------------------------------------------

I was surprised, too!
Who_could_suspect_something_like_that? shityiiiii

---------------------------------------------------------

--------------This mail was generated automatically.
More info about --HOTMAIL-- under: http://www.hotmail.com

-------
Occured_Errors:

[IP]_does_not_like_sender.
# 153: Giving_up_on_[IP]

End
-------

The full mail is attached.

Auto_Mail.System: [hotmail]



*-*-* Mail_Scanner: No Virus
*-*-* SYMANTEC- Anti_Virus Service
---------------------------------------------------------


附件:(以下所列德语或英语字符串之一,使用 .pif, .scr, .bat or .com或 zip 扩展名)

im_shocked 
oh_nono 
thats_hard 
mail 
auto_mail 
re-mail_system 
Error_mail


附件也可能以 [收件人域].[下列扩展名之一].zip的形式出现:

.txt 
.doc 
.word 
.xls 
.eml 
.TXT 
.DOC 
EML 




赛门铁克安全响应中心主张所有用户和管理员都坚持以下良好的基本安全习惯。 

关闭或删除不需要的服务。默认情况下，许多操作系统会安装不危险的辅助服务，如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击提供了方便之门。如果删除它们，就减少了混合型威胁用于攻击的途径，并且在补丁程序更新时也减少了要维护的服务。 
如果混合型威胁利用了一个或多个网络服务，请在应用补丁程序之前禁用或禁止访问这些服务。 
实施应用最新的补丁程序，特别是在运行公共服务并可通过防火墙进行访问的计算机上，如 HTTP、FTP、邮件和 DNS 服务。 
强制执行密码策略。使用复杂的密码，即使在受到威胁的计算机上也难以破解密码文件。这有助于在计算机的安全受到威胁时防止或限制更大的破坏。 
将您的邮件服务器配置为禁止或删除包含常用于传播病毒的附件（如 .vbs、.bat、.exe、.pif 和 .scr）的电子邮件。 
迅速隔离受感染的计算机以防止您的组织受到更多的威胁。执行攻击型分析并使用可靠的媒体恢复计算机。 
教育员工不要打开来路不明的附件。也不要执行从 Internet 下载后未经病毒扫描的软件。如果某些浏览器漏洞未被修补，访问受到安全威胁的网站也会造成感染。 


使用 W32.Sober 杀毒工具杀毒
赛门铁克安全响应中心开发了一种杀毒工具，可用来清除 W32.Sober.I@mm 感染。这是消除此威胁的最简便方法，您可先运行杀毒工具杀毒。


手动杀毒
以下指导适用于所有当前和最新的赛门铁克防病毒产品，包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品。

禁用系统还原 (Windows Me/XP)。 
更新病毒定义。 
将计算机重启到安全模式或者 VGA 模式。 
运行完整的系统扫描，并删除所有检测为 W32.Sober.I@mm 的文件。 
恢复添加到注册表的值。

有关每个步骤的详细信息，请阅读以下指导。

禁用系统还原（Windows Me/XP）
如果您运行的是 Windows Me 或 Windows XP，建议您暂时关闭“系统还原”。此功能默认情况下是启用的，一旦计算机中的文件被破坏，Windows 可使用该功能将其还原。如果病毒、蠕虫或特洛伊木马感染了计算机，则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。

Windows 禁止包括防病毒程序在内的外部程序修改系统还原。因此，防病毒程序或工具无法删除 System Restore 文件夹中的威胁。这样，系统还原就可能将受感染文件还原到计算机上，即使您已经清除了所有其他位置的受感染文件。

此外，病毒扫描可能还会检测到 System Restore 文件夹中的威胁，即使您已将该威胁删除。

有关如何关闭系统还原功能的指导，请参阅 Windows 文档或下列文章之一：

如何禁用或启用 Windows XP 系统还原 
如何禁用或启用 Windows Me 系统还原

--------------------------------------------------------------------------------
注意：蠕虫移除干净后，请按照上述文章所述恢复系统还原的设置。
--------------------------------------------------------------------------------

有关详细信息以及禁用 Windows Me 系统还原的其他方法，请参阅 Microsoft 知识库文章：病毒防护工具无法清除 _Restore 文件夹中受感染的文件，文章 ID：CH263455。

更新病毒定义
赛门铁克安全响应中心在我们的服务器上发布任何病毒定义之前，会对其进行全面测试以保证质量。可以通过两种方式获得最新的病毒定义：

运行 LiveUpdate（这是获取病毒定义的最简便方法）：这些病毒定义被每周一次（通常在星期三）发布到 LiveUpdate 服务器上，除非出现大规模的病毒爆发情况。要确定是否可通过 LiveUpdate 获取此威胁的定义，请参考病毒定义 (LiveUpdate)。 
使用智能更新程序下载病毒定义：智能更新程序病毒定义会在工作日（美国时间，星期一至星期五）发布。应该从赛门铁克安全响应中心网站下载病毒定义并手动进行安装。要确定是否可通过智能更新程序获取此威胁的定义，请参考病毒定义（智能更新程序）。

现在提供智能更新程序病毒定义：有关详细说明，请参阅如何使用智能更新程序更新病毒定义文件。

扫描和删除受感染文件

启动 Symantec 防病毒程序，并确保已将其配置为扫描所有文件。 
Norton AntiVirus 单机版产品：请阅读文档：如何配置 Norton AntiVirus 以扫描所有文件。 
赛门铁克企业版防病毒产品：请阅读 如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件。
运行完整的系统扫描。 
如果检测到任何文件被 W32.Sober.F@mm 感染，请单击“删除”。

恢复添加到注册表的值

--------------------------------------------------------------------------------
注意：对系统注册表进行任何修改之前，赛门铁克强烈建议您最好先替注册表进行一次备份。对注册表的修改如果有任何差错，严重时将会导致数据遗失或档案受损。只修改指定的注册表键。如需详细指示，请阅读「如何备份 Windows 注册表」文件。
--------------------------------------------------------------------------------


单击“开始”，然后单击“运行”。 
键入 regedit 

然后单击“确定”。


导航至以下键：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run


在右窗格中，删除值：

"[random value name]" = "%System%\[random worm file name].exe"
"[random value name]" = "%System%\[random worm file name].exe %srun%"


退出注册表编辑器。