您的位置:首页资讯手机辅助 → 江民公布I-Worm/Sobig.f最新变种技术分析报告

江民公布I-Worm/Sobig.f最新变种技术分析报告

时间:2004/10/8 14:41:00来源:本站整理作者:蓝点我要评论(0)

>   北京江民新科技术有限公司快速病毒反应小组截获I-Worm/Sobig的最新变种:I-Worm/Sobig.f.目前监测到的情况是该蠕虫传播正在扩大。



  该蠕虫影响的操作系统包括流行的所有WINDOWS操作系统:Windows 9X, Windows Me, Windows 2000,Windows NT, Windows XP 等。



  一、和以前其变种一样,该网络蠕虫具备基本蠕虫特征:



  (一)搜索可能正确的EMAIL地址,然后疯狂向找到的Email地址发送含有该蠕虫的信件。



  该蠕虫为了扩大传播,搜索邮件地址是在如下的扩展名称中查找的,这些文件最可能含有有效的邮件地址,它们是:



  dbx 文件(微软OUTLOOK邮件系统保存文件类型)、



  eml 文件(通用邮件文件扩展名称)、



  hlp 文件(帮助文件)、



  htm 文件、html文件(网页文件)、



  mht 文件(网页文件)、



  wab 文件(微软地址薄文件)、



  txt 文件(纯文本文件)。



  在以上的文件类型中,最可能含有有效邮件地址的文件类型有:dbx,eml以及wab文件。



  病毒是给每个找到的邮件地址发送自身,因此该网络蠕虫传播面会很大。



  (二)感染网络邻居:



  搜索可写的网络邻居上的机器的目录,将自身拷贝到该目录下。



  二、I-Worm/Sobig.f网络蠕虫的识别:



  需要说明的是:邮件地址的发送人都是写假装的地址、不要真的以为是那些人发送给您的该网络蠕虫。



  该网络蠕虫的邮件主题可能看起来象是一封回信:



  Re: Details (详细信息)



  Re: Approved (证实)



  Re: Re: My details (我的个人详细信息)



  Re: Thank you! (谢谢)



  Re: That movie (那个电影)



  Re: Wicked screensaver (屏保)



  Re: Your application (您的应用程序)



  Thank you! (谢谢)



  Your details(您的详细信息)



  邮件的内容是纯英文的:



  See the attached file for details



  Please see the attached file for details.



  (大意是:请打开附件,看详细信息)



  附件可能的文件名称是:



  your_document.pif



  document_all.pif



  thank_you.pif



  your_details.pif



  details.pif



  document_9446.pif



  application.pif



  wicked_scr.scr



  movie0045.pif



  这些附件文件大约是:72000字节



  三、I-Worm/Sobig.f的技术特征:



  当该蠕虫被用户从邮件中打开运行,它首先将自身拷贝到WINDOWS目录下,以文件winppr32.exe存在,同时创建文件winsst32.dat.



  为了使系统每次启动该蠕虫都能自动运行,该蠕虫还修改系统注册表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run



  增加的值是:TrayX ,指向WINDOWS目录下的蠕虫程序主体winppr32.exe文件,该蠕虫文件带参数sinc运行。



  试图将蠕虫自身拷贝到网络共享。



  蠕虫还能偷密码信息,同时能将受感染的机器设置成垃圾邮件服务器发送大量的网络蠕虫。



  蠕虫能自动升级,在合适的情况下,该蠕虫还能联系一些蠕虫作者控制的服务器,并从这些主服务器上获得木马程序,



  并下载到感染病毒的机器,运行该木马程序。



  蠕虫利用的计算机的端口地址有:UDP 123 端口; UDP 8998 端口;UDP 995,996,997,998,999等端口。



  四、措施:



  关闭UDP的995-999,8998端口。



  监视UDP的123的NTP请求(该蠕虫利用该蠕虫来获得有用信息)。



  五、相关好大网络蠕虫的连接:



  2003年6月26日



  I-Worm/Sobig.e 病毒分析报告:



  http://www.jiangmin.com/exec/news_sys/news/jiangmin/index/important/2003626145538.htm



  2003年5月21日



  I-Worm/Sobig.b病毒分析报告:



  http://www.jiangmin.com/exec/news_sys/news/jiangmin/index/important/2003521155616.htm



  六、江民杀毒软件KV2004来防杀该病毒:



  智能升级到最新版,来开启所有六项监控来预防该病毒。



  该蠕虫的大面积的传播和漏洞无关,它利用的是人们的好奇心,江民科技提醒广大计算机用户,不要打开来历不明的信件,特别是以上分析中指出的样式的邮件。



来源: 千龙科技  

相关阅读 Windows错误代码大全 Windows错误代码查询激活windows有什么用Mac QQ和Windows QQ聊天记录怎么合并 Mac QQ和Windows QQ聊天记录Windows 10自动更新怎么关闭 如何关闭Windows 10自动更新windows 10 rs4快速预览版17017下载错误问题Win10秋季创意者更新16291更新了什么 win10 16291更新内容windows10秋季创意者更新时间 windows10秋季创意者更新内容kb3150513补丁更新了什么 Windows 10补丁kb3150513是什么

文章评论
发表评论

热门文章 爱思助手怎么导入微信i苹果助手怎么修复闪退2014年度十大手机排行wifi万能钥匙怎么用啊

最新文章 手机如何安装电脑软件使用Total Control手机 如何使用Total Control进行手机APP性能测试如何使用Total Control 在电脑端收发手机消如何使用Total Control 投屏录屏软件分享手Total Control电脑控制手机软件如何进行脚本

人气排行 一键刷机哪个好 四大安卓刷机软件评测手机SIM卡读不出来怎么办?手机SIM卡不识别解USB调试在哪里打开 手机USB调试模式设置大全完美刷机怎么救砖 手机变砖后怎么办爱思助手备份shsh教程 爱思助手怎么备份SHwifi万能钥匙怎么用啊 wifi万能钥匙电脑版逍遥安卓模拟器怎么用 逍遥安卓模拟器安装使苹果手机怎么退出恢复模式 怎么用爱思助手