快进来看看!!可能晚了些!!请朋友们注意小心“大无极变种F”恶性蠕虫病毒!!!
大无极变种F 即 W32.Sobig.F ,也一种恶性蠕虫病毒,以下是我所知的这种病毒的信息,希望朋友们尽快升级你们的杀毒软件或者下载专杀工具来查杀这种病毒。
====================================
病毒概述:
W32.Sobig.F 是具有网络意识的群发邮件蠕虫,它将自身发送到在具有以下扩展名的文件中找到的所有电子邮件地址:
.dbx
.eml
.hlp
.htm
.html
.mht
.wab
.txt
电子邮件例程详细信息:
所发送的电子邮件具有下列特征:
发件人:虚假地址(即“发件人”字段中的发件人极有可能不是真正的发件人)。蠕虫可能会将地址 admin@internet.com 作为发件人。
注意:
虚假地址和收件人地址都是从在计算机上找到的文件中提取出来的。另外,蠕虫可能使用受感染计算机上的设置来检查可以联系的 SMTP 服务器。
选择 internet.com 域看起来是任意的,与实际的域或其父公司并无任何关系。
主题:
Re: Details
Re: Approved
Re: Re: My details
Re: Thank you!
Re: That movie
Re: Wicked screensaver
Re: Your application
Thank you!
Your details
正文:
See the attached file for details
Please see the attached file for details.
附件:
application.zip (contains application.pif)
details.zip (contains details.pif)
document_9446.zip (contains document_9446.pif)
document_all.zip (contains document_all.pif)
movie0045.zip (contains movie0045.pif)
thank_you.zip (contains thank_you.pif)
your_details.zip (contains your_details.pif)
your_document.zip (contains your_document.pif)
wicked_scr.zip (contains wicked_scr.scr)
此蠕虫将在 2003 年 9 月 10 日停止活动,因此蠕虫进行传播的最后一天为 2003 年 9 月 9 日。
根据不同反病毒厂商的命名不同,该病毒还有以下别名: Sobig.F [F-Secure], W32/Sobig.f@MM [McAfee], WORM SOBIG.F [Trend], W32/Sobig-F [Sophos], Win32.Sobig.F [CA], I-Worm.Sobig.f [KAV] .......
类型: 蠕虫病毒 Worm
感染长度: 大约 72,000 字节
受影响的系统: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
未受影响的系统: Linux, Macintosh, OS/2, UNIX, Windows 3.x
====================================
病毒威胁评估:
感染数量: 大于 1000
站点数量: 大于 10
地理分布: 高度
威胁遏制: 容易
消除威胁能力: 一般
危胁程度:4级
广度:高度
损坏程度:中度
分发:高度
====================================
病毒技术分析:
执行 W32.Sobig.F 时,该蠕虫会执行下列操作:
将自身复制为 %Windir%\winppr32.exe。
注意:%Windir% 是一个变量。蠕虫会找到 Windows 安装文件夹(默认为 C:\Windows 或 C:\Winnt),然后将自身复制到其中。
创建下列文件:
%Windir%\winsst32.dat
将值:
"TrayX"="%Windir%\winppr32.exe /sinc"
添加到注册表键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
这样蠕虫便可在 Windows 启动时运行。
试图将其自身复制任何有权利进入的网络共享。蠕虫通过标准 Windows API 达到上述目的。
Sobig.F 能够将任意文件下载到感染的计算机并将其执行。 蠕虫作者使用此功能来盗取系统机密信息并在受感染计算机上建立垃圾邮件中转服务器。
该功能也可被蠕虫用于自我更新。 在合适的时机,Sobig.F 会尝试联系几台由蠕虫作者控制的主服务器,蠕虫在拿到一个 URL 后用它找到特洛伊木马程序,并将其下载到本地计算机后执行。
对于 Sobig.F,这个合适的时机是指:
格林威治时间(格林威治时间加 8 小时换算成北京时间)的星期一或星期五
格林威治时间的晚 7 点到 晚 11:59:59
Sobig.F 通过联系几台服务器的 123/UDP 端口 (NTP 端口) 来获取 UTP (网络时间协议) 以查知格林威治时间。
蠕虫向主服务器的 8998/udp 端口发送探测包,主服务器随后发还一个 URL,蠕虫就到这个 URL 下载特洛伊木马程序。
Sobit.E 还会打开下列端口:
995/udp
996/udp
997/udp
998/udp
999/udp
并在这些端口上监测传入的 UDP 数据包。 传入的数据会被解析,在收到到具有某特定签名的数据包后,蠕虫的主服务器清单会被更新。
建议用户执行下面的操作:
停止 99x/udp 端口的入站通讯。
停止 8898/udp 端口的出站通讯。
监视 123/udp 端口的可能来自于感染计算机的 NTP 请求。 对感染计算机检查需应每小时进行一次。
====================================
请朋友们尽快升级你们的杀毒软件,就我所知,国内的瑞星等杀毒软件已经升级了病毒特征库或已经有了专杀工具,请朋友们尽快下载。
为了朋友们免除此病毒的危胁,在此附上完全杀除此病毒的方法:
1. 禁用系统还原(Windows Me/XP)
如果你的系统是 Windows Me 或 Windows XP,建议暂时关闭“系统还原”。此功能默认情况下是启用的,一旦计算机中的文件被破坏,Windows 可使用该功能将其还原。如果病毒、蠕虫或特洛伊木马感染了计算机,则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。
Windows 禁止包括防病毒程序在内的外部程序修改系统还原。因此,防病毒程序或工具无法删除 System Restore 文件夹中的威胁。这样,系统还原就可能将受感染文件还原到计算机上,即使您已经清除了所有其他位置的受感染文件。
此外,病毒扫描可能还会检测到 System Restore 文件夹中的威胁,即使你已将该威胁删除。
2. 以安全模式重新启动计算机或终止特洛伊木马进程
Windows 95/98/Me
以安全模式重新启动计算机。除 Windows NT 外,所有的 Windows 32 位操作系统均可以安全模式重新启动。
Windows NT/2000/XP
要终止特洛伊木马进程,请执行下列操作:
按一次 Ctrl+Alt+Delete。
单击“任务管理器”。
单击“进程”选项卡。
滚动列表并查找 Winppr32.exe。
如果找到该文件,则单击此文件,然后单击“结束进程”。
退出“任务管理器”。
4. 扫描和删除受感染文件
启动最新版的杀毒软件或专杀工具,如果查到有任何文件被检测为感染了W32.Sobig.F,请单击“删除”。
5. 删除对注册表所做的更改
警告:在进行任何更改前先备份注册表。错误地更改注册表可能导致数据永久丢失或文件损坏。应只修改指定的键。
单击“开始”,然后单击“运行”。(将出现“运行”对话框。)
输入 regedit 然后单击“确定”。(将打开注册表编辑器。)
搜索至以下键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
在右窗格中,删除值:
"TrayX"="%Windir%\winppr32.exe /sinc"
退出注册表编辑器。