-
您的位置:首页 → 资讯 → 手机辅助 → 江民公布I-Worm/Sobig.f最新变种技术分析报告
江民公布I-Worm/Sobig.f最新变种技术分析报告
时间:2004/10/8 14:41:00来源:本站整理作者:蓝点我要评论(0)
-
> 北京江民新科技术有限公司快速病毒反应小组截获I-Worm/Sobig的最新变种:I-Worm/Sobig.f.目前监测到的情况是该蠕虫传播正在扩大。
该蠕虫影响的操作系统包括流行的所有WINDOWS操作系统:Windows 9X, Windows Me, Windows 2000,Windows NT, Windows XP 等。
一、和以前其变种一样,该网络蠕虫具备基本蠕虫特征:
(一)搜索可能正确的EMAIL地址,然后疯狂向找到的Email地址发送含有该蠕虫的信件。
该蠕虫为了扩大传播,搜索邮件地址是在如下的扩展名称中查找的,这些文件最可能含有有效的邮件地址,它们是:
dbx 文件(微软OUTLOOK邮件系统保存文件类型)、
eml 文件(通用邮件文件扩展名称)、
hlp 文件(帮助文件)、
htm 文件、html文件(网页文件)、
mht 文件(网页文件)、
wab 文件(微软地址薄文件)、
txt 文件(纯文本文件)。
在以上的文件类型中,最可能含有有效邮件地址的文件类型有:dbx,eml以及wab文件。
病毒是给每个找到的邮件地址发送自身,因此该网络蠕虫传播面会很大。
(二)感染网络邻居:
搜索可写的网络邻居上的机器的目录,将自身拷贝到该目录下。
二、I-Worm/Sobig.f网络蠕虫的识别:
需要说明的是:邮件地址的发送人都是写假装的地址、不要真的以为是那些人发送给您的该网络蠕虫。
该网络蠕虫的邮件主题可能看起来象是一封回信:
Re: Details (详细信息)
Re: Approved (证实)
Re: Re: My details (我的个人详细信息)
Re: Thank you! (谢谢)
Re: That movie (那个电影)
Re: Wicked screensaver (屏保)
Re: Your application (您的应用程序)
Thank you! (谢谢)
Your details(您的详细信息)
邮件的内容是纯英文的:
See the attached file for details
Please see the attached file for details.
(大意是:请打开附件,看详细信息)
附件可能的文件名称是:
your_document.pif
document_all.pif
thank_you.pif
your_details.pif
details.pif
document_9446.pif
application.pif
wicked_scr.scr
movie0045.pif
这些附件文件大约是:72000字节
三、I-Worm/Sobig.f的技术特征:
当该蠕虫被用户从邮件中打开运行,它首先将自身拷贝到WINDOWS目录下,以文件winppr32.exe存在,同时创建文件winsst32.dat.
为了使系统每次启动该蠕虫都能自动运行,该蠕虫还修改系统注册表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
增加的值是:TrayX ,指向WINDOWS目录下的蠕虫程序主体winppr32.exe文件,该蠕虫文件带参数sinc运行。
试图将蠕虫自身拷贝到网络共享。
蠕虫还能偷密码信息,同时能将受感染的机器设置成垃圾邮件服务器发送大量的网络蠕虫。
蠕虫能自动升级,在合适的情况下,该蠕虫还能联系一些蠕虫作者控制的服务器,并从这些主服务器上获得木马程序,
并下载到感染病毒的机器,运行该木马程序。
蠕虫利用的计算机的端口地址有:UDP 123 端口; UDP 8998 端口;UDP 995,996,997,998,999等端口。
四、措施:
关闭UDP的995-999,8998端口。
监视UDP的123的NTP请求(该蠕虫利用该蠕虫来获得有用信息)。
五、相关好大网络蠕虫的连接:
2003年6月26日
I-Worm/Sobig.e 病毒分析报告:
http://www.jiangmin.com/exec/news_sys/news/jiangmin/index/important/2003626145538.htm
2003年5月21日
I-Worm/Sobig.b病毒分析报告:
http://www.jiangmin.com/exec/news_sys/news/jiangmin/index/important/2003521155616.htm
六、江民杀毒软件KV2004来防杀该病毒:
智能升级到最新版,来开启所有六项监控来预防该病毒。
该蠕虫的大面积的传播和漏洞无关,它利用的是人们的好奇心,江民科技提醒广大计算机用户,不要打开来历不明的信件,特别是以上分析中指出的样式的邮件。
来源: 千龙科技
相关阅读
Windows错误代码大全 Windows错误代码查询激活windows有什么用Mac QQ和Windows QQ聊天记录怎么合并 Mac QQ和Windows QQ聊天记录Windows 10自动更新怎么关闭 如何关闭Windows 10自动更新windows 10 rs4快速预览版17017下载错误问题Win10秋季创意者更新16291更新了什么 win10 16291更新内容windows10秋季创意者更新时间 windows10秋季创意者更新内容kb3150513补丁更新了什么 Windows 10补丁kb3150513是什么
-
热门文章
爱思助手怎么导入微信i苹果助手怎么修复闪退2014年度十大手机排行wifi万能钥匙怎么用啊
最新文章
手机如何安装电脑软件使用Total Control手机
如何使用Total Control进行手机APP性能测试如何使用Total Control 在电脑端收发手机消如何使用Total Control 投屏录屏软件分享手Total Control电脑控制手机软件如何进行脚本
人气排行
一键刷机哪个好 四大安卓刷机软件评测手机SIM卡读不出来怎么办?手机SIM卡不识别解USB调试在哪里打开 手机USB调试模式设置大全完美刷机怎么救砖 手机变砖后怎么办爱思助手备份shsh教程 爱思助手怎么备份SHwifi万能钥匙怎么用啊 wifi万能钥匙电脑版逍遥安卓模拟器怎么用 逍遥安卓模拟器安装使苹果手机怎么退出恢复模式 怎么用爱思助手
查看所有0条评论>>