安全响应·Security
病毒预警·Alarm

谨防Email-Worm.Win32.Sober最新变种

2005 年 12 月 02 日
安天CERT

内容:
 

  本周提醒广大用户谨防最新病毒Email-Worm.Win32.Sober.p及其变种,该病毒虽然危害性不高,但是流行较广泛。该病毒属邮件蠕虫类,主要通过发送含有病毒附件的邮件传播,通过邮件的主题、正文来诱骗用户下载、运行病毒附件。
  
  病毒运行后,首先会复制自身到%Windows%\Connection Wizard\文件夹下,而后修改注册表文件,添加到启动项目,达到随系统启动的目的。病毒运行后会通过搜索被感染系统中某些扩展名的文件来获取其中的邮件地址,发送病毒邮件,达到传播自身的目的。
  
  该Email-Worm.Win32.Sober.b病毒及其家族变种发送的病毒邮件可能含有以下信息:
病毒邮件主题可能为:
 Your Password
 Registration Confirmation
 Your email was blocked
 hi,_ive_a_new_mail_address
 Mail delivery failed
 Paris_Hilton_&_Nicole_Richie
 You visit illegal websites

病毒邮件正文可能为:
 hey its me, my old address dont work at time. i dont know why*!in the last days
 ive got some mails.
 i' think thaz your mails but im not sure!
 The Simple Life:
 View Paris Hilton & Nicole Richie video clips , pictures & more ;)
 Download is free until Jan, 2006! Please use our Download manager.

病毒附件名可能为:
 mail.zip
 reg_pass.zip
 mail.zip
 reg_pass-data.zip
 question_list.zip
 list.zip
 downloadm
 mail_body.zip

若接收到含有以上信息的电子邮件,还请广大用户多多留意。

清除方案:

删除注册表文件中以下建值:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
键值: 字串:_WinStart = "%Windows%\Connection Wizard\Status\services.exe" HKEY_LOCAL_METHINE\Software\Microsoft\Windows\CurrentVersion\Run
键值: 字串:WinStart = "%Windows%\Connection Wizard\Status\services.exe" HKEY_LOCAL_METHINE \Software\Microsoft\Windows\Currentersion\RunOnce
键值: 字串:WinStart = "%Windows%\Connection Wizard\Status
\services.exe %1"

删除以下释放的病毒文件:
  %Windows%\Connection Wizard\Statuscsrss.exe
  %Windows%\Connection Wizard\Statussmss.exe
  %Windows%\Connection Wizard\Statusservices.exe
 
  注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中 默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
附:
  安天木马防线2005+试用版下载地址:
http://www.antiy.com/product/ghostbusters/index.htm
病毒上报信箱: submit@virusview.net
木马防线2005+:

  木马防线2005+是安天实验室出品的个人信息安全产品,是木马防线2005的全新升级版,具备高效木马查杀、系统安全管理、实时网络防护等功能。

  • 高效木马查杀 
    采用高速智能检测引擎(SVE),能够完全查杀国内外流行的6万余种木马、后门、蠕虫、间谍软件、广告软件、黑客工具、色情拨号程序等,尤其对各类未知有害程序具有极高的检出率。
  • 系统安全管理
    提供了丰富的安全管理工具,能够修复IE和注册表设置,管理系统中各项任务、进程、服务、共享资源和自启动项,监控网络的连接状态和开启的端口。
  • 实时网络防护
    全新的安天盾防火墙功能更加强大,能够实时监控您的系统和网络,随时发现活动的木马等可疑程序,并能查封指定IP地址和端口,有效拦截各类诸如"冲击波""震荡波"的扫描攻击行为。
关于安天:
 

  安天信息技术有限责任公司(中国安天实验室,Antiy Labs),是一家以网络信息安全为主要领域的综合性信息技术研发型企业。公司在反病毒、信息水印等前沿领域积极探索,持续研发,拥有自有核心技术和产品。

   安天积极推动核心技术向关键产品的转化。安天目前是国内最大的独立可嵌入反病毒引擎和内容过滤体制供应商,在网络病毒监控设备、反木马与主机保护等领域,安天的相关产品也引领着市场需求与技术风潮。
[TOP]