I-Worm/Sobig的最新变种:I-Worm/Sobig.f.
I-Worm/Sobig的最新变种:I-Worm/Sobig.f.目前监测到的情况是
该蠕虫传播正在扩大。
该蠕虫影响的操作系统包括流行的所有WINDOWS操作系统:Windows 9X, Windows Me, Windows 2000,Windows NT, Windows XP 等。
一、和以前其变种一样,该网络蠕虫具备基本蠕虫特征:
(一)搜索可能正确的EMAIL地址,然后疯狂向找到的Email地址发送含有该蠕虫的信件。
该蠕虫为了扩大传播,搜索邮件地址是在如下的扩展名称中查找的,这些文件最可能含有有效的邮件地址,它们是:
dbx 文件(微软OUTLOOK邮件系统保存文件类型)、
eml 文件(通用邮件文件扩展名称)、
hlp 文件(帮助文件)、
htm 文件、html文件(网页文件)、
mht 文件(网页文件)、
wab 文件(微软地址薄文件)、
txt 文件(纯文本文件)。
在以上的文件类型中,最可能含有有效邮件地址的文件类型有:dbx,eml以及wab文件。
病毒是给每个找到的邮件地址发送自身,因此该网络蠕虫传播面会很大。
(二)感染网络邻居:
搜索可写的网络邻居上的机器的目录,将自身拷贝到该目录下。
二、I-Worm/Sobig.f网络蠕虫的识别:
需要说明的是:邮件地址的发送人都是写假装的地址、不要真的以为是那些人发送给您的该网络蠕虫。
该网络蠕虫的邮件主题可能看起来象是一封回信:
Re: Details (详细信息)
Re: Approved (证实)
Re: Re: My details (我的个人详细信息)
Re: Thank you! (谢谢)
Re: That movie (那个电影)
Re: Wicked screensaver (屏保)
Re: Your application (您的应用程序)
Thank you! (谢谢)
Your details(您的详细信息)
邮件的内容是纯英文的:
See the attached file for details
Please see the attached file for details.
(大意是:请打开附件,看详细信息)
附件可能的文件名称是:
your_document.pif
document_all.pif
thank_you.pif
your_details.pif
details.pif
document_9446.pif
application.pif
wicked_scr.scr
movie0045.pif
这些附件文件大约是:72000字节
三、I-Worm/Sobig.f的技术特征:
当该蠕虫被用户从邮件中打开运行,它首先将自身拷贝到WINDOWS目录下,以文件winppr32.exe存在,同时创建文件winsst32.dat.
为了使系统每次启动该蠕虫都能自动运行,该蠕虫还修改系统注册表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
增加的值是:TrayX ,指向WINDOWS目录下的蠕虫程序主体winppr32.exe文件,该蠕虫文件带参数sinc运行。
试图将蠕虫自身拷贝到网络共享。
蠕虫还能偷密码信息,同时能将受感染的机器设置成垃圾邮件服务器发送大量的网络蠕虫。
蠕虫能自动升级,在合适的情况下,该蠕虫还能联系一些蠕虫作者控制的服务器,并从这些主服务器上获得木马程序,
并下载到感染病毒的机器,运行该木马程序。
蠕虫利用的计算机的端口地址有:UDP 123 端口; UDP 8998 端口;UDP 995,996,997,998,999等端口。
四、措施:
关闭UDP的995-999,8998端口。
监视UDP的123的NTP请求(该蠕虫利用该蠕虫来获得有用信息)。
