网络信息安全是一个博大精深的技术体系,安天将自己的注意力专注于主要矛盾,即计算机网络病毒问题。
    根据有关机构统计,全球超过80%的安全事件均与病毒有关,网络病毒是信息社会面临的主要安全挑战之一,因此,安天人将“天下无毒”作为自己追求的安全境界。
    安天将网络安全工作者的宏观视野与反病毒工程师的成熟细腻有机结合。将反病毒技术与网络监控技术、计算机犯罪取证技术、安全评估技术等进行了有机的结合,形成了自身的产品内涵。
  当前位置:首页 - 安全响应中心

Email-Worm.Win32.Sober.p分析
出处:安天实验室 时间:2005年11月14日
 

  • 病毒标签
  病毒名称: Email-Worm.Win32.Sober.p
病毒类型: 邮件蠕虫
危害等级: 中
文件长度: 53,554 字节
感染系统: windows 98及以上版本
开发工具: Microsoft Visual Basic 5.0 / 6.0
加壳类型: UPX

  • 病毒描述
  该病毒属邮件蠕虫类,病毒主要通过发送含有病毒附件的邮件传播。病毒运行后会复制自身到%Windows%\Connection Wizard\Status下,修改注册表文件,添加启动项。病毒通过搜索被感染系统中某些扩展名的文件来获取其中的邮件地址,发送病毒邮件。病毒还会尝试删除某些文件。

  • 行为分析
 

1、修改注册表文件:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
键值: 字串:_WinStart = "%Windows%\Connection Wizard\Status\services.exe"
HKEY_LOCAL_METHINE\Software\Microsoft\Windows\CurrentVersion\Run
键值: 字串:WinStart = "%Windows%\Connection Wizard\Status\services.exe"
HKEY_LOCAL_METHINE \Software\Microsoft\Windows\CurrentVersion\RunOnce
键值: 字串:WinStart = "%Windows%\Connection Wizard\Status\services.exe %1"

2、释放病毒相关文件:
%Windows%\Connection Wizard\Statuscsrss.exe
%Windows%\Connection Wizard\Statussmss.exe
%Windows%\Connection Wizard\Statusservices.exe

3、病毒主要通过发送含有病毒附件的email来传播,其中:
病毒通过搜索被感染主机的以下扩展名的文件来获取其中的email地址:

msg
jsp
oft
vbs
uin
ldb
abc
pst
cfg
mdw
mbx
mdx
mda
adp
nab
fdb
vap
dsp
ade
sln
dsw
mde
frm
bas
adr
cls
ini
……

当遇到一下字符串时,病毒将不发送邮件:
@gmetref
sql.
som
eone
nothing

you@
user@
reciver@
somebody
secure
whatever@
whoever@
anywhere
yourname
mustermann@
……
病毒邮件主题可能为:
Your Password
Registration Confirmation
Your email was blocked
……

病毒附件经过zip压缩,其中zip包中的病毒文件名为:Winzipped-Text_Data.txt .pif

4、病毒尝试删除以下文件:
a*.exe
luc*.exe
ls*.exe
luu*.exe

注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。

  • 清除方案
 

1、使用安天防线可彻底清除此病毒(推荐),请点击下载(http://www.antiyfx.com)

2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。