W32.Sober.X@mm

来源：互联网 作者：west263.com 时间：2008-02-23

西部数码-全国虚拟主机10强！40余项虚拟主机管理功能,全国领先!双线多线虚拟主机南北访问畅通无阻!免费赠送企业邮局,.CN域名,自助建站480元起,免费试用7天,满意再付款! P4主机租用799元/月.月付免压金!

病毒名称: W32.Sober.X@mm 类别：邮件病毒病毒资料：该病毒长度 55,390 字节，感染 windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系统，它使用自带的 SMTP 引擎传播，将病毒本身作为附件，发送到从被感染计算机中收集到的邮件地址，邮件具有英文、德语两种语言，当收到、打开此病毒时，有以下危害：

A 显示信息提示
标题: WinZip Self-Extractor
内容: Error: CRC not complete
B 复制自身到WINDOWS目录的csrss.exe 、WinSecurity\services.exe 、WinSecurity\smss.exe
C 创建文件WinSecurity\socket1.ifo到WINDOWS目录，这是个使用 MIME 编码，具有.zip扩展名的文件，内容是病毒自身
D 创建以下文件到WINDOWS目录
WinSecurity\mssock1.dli
WinSecurity\mssock2.dli
WinSecurity\mssock3.dli
WinSecurity\winmem1.ory
WinSecurity\winmem2.ory
WinSecurity\winmem3.ory
WinSecurity\sysonce.tst
WinSecurity\starter.run
WinSecurity\nexttroj.tro
E 创建以下文件到系统目录
bbvmwxxf.hml
langeinf.lin
nonrunso.ber
rubezahl.rub
F 增加注册表项"_Windows" = "％Windir％\WinSecurity\services.exe"到注册表的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
使得病毒每次开机后自动执行
G 检查网络连接,从以下NTP服务器中获取日期
Rolex.PeachNet.edu
clock.psu.edu
cUCkoo.nevada.edu
gandalf.theunixman.com
nist1.datum.com
ntp-1.ece.cmu.edu

ntp-2.ece.cmu.edu
ntp-sop.inria.fr
ntp.lth.se
ntp.massayonet.com.br
ntp.metas.ch
ntp.pads.ufrj.br
ntp0.cornell.edu
ntp1.arnes.si
ntp1.theremailer.net
ntp2.ien.it
ntp2b.mcc.ac.uk
ntp2c.mcc.ac.uk
ntp3.fau.de
ntps1-1.uni-erlangen.de
ptBTime2.ptb.de
rolex.usg.edu
st.ntp.carnet.hr
sundial.columbia.edu
swisstime.ethz.ch
tick.greyware.com
time-a.timefreq.bldrdoc.gov
time-ext.missouri.edu
time.chu.nrc.ca
time.ien.it
time.kfki.hu
time.mit.edu
time.nist.gov
time.nrc.ca
time.windows.com
time.xmission.com
timelord.uregina.ca
tock.keso.fi
utcnist.colorado.edu
vega.cbk.poznan.pl

H 从以下扩展名的文件中收集邮件地址
.abc
.abd
.abx
.adb
.ade
.adp
.adr
.ASP
.bak
.bas
.cfg
.cgi
.cls
.cms
.csv
.ctl
.dbx
.dhtm
.doc
.dsp
.dsw
.eml
.fdb
.frm
.hlp
.imb
.imh
.imh
.imm
.inbox
.ini
.jsp

.ldb
.ldif
.log
.mbx
.mda
.mdb
.mde
.mdw
.mdx
.mht
.mmf
.msg
.nab
.nch
.nfo
.nsf
.nws
.ods
.oft
.PHP
.phtm
.pl
.pmr
.pp
.ppt
.pst
.rtf
.sHtml
.slk
.sln
.stm
.tbb
.txt
.uin
.vap
.vbs
.vcf
.wab
.wsh
.xhtml
.xls
.XML

I 排除掉含有以下内容的邮件地址
-dav
.dial.
.kundenserver.
.ppp.
.qmail@
.sul.t-
@arin
@avp
@ca.
@example.
@foo.
@from.
@gmetref
@iana
@ikarus.
@kaspers
@messagelab
@nai.
@panda
@smtp.
@sophos
@www
abuse
announce
antivir
anyone
anywhere
bellcore.
bitdefender
clock
detection
domain.
emsisoft
ewido.

free-av
freeav
FTP.
gold-certs
Google
host.
icrosoft.
ipt.aol
law2
Linux
mailer-daemon
mozilla
mustermann@
nlpmail01.
noreply
nothing
ntp-
ntp.
ntp@
Office
passWord
postmas
reciver@
secure
service
smtp-
somebody
someone
spybot
sql.
subscribe

文章整理：西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!

[打印] [关闭]

相关文章

木马高招：灰鸽子注册成系统服务

Micro CMS MicroCMS-include.php

Script.RedLof.C

Trojan.Win32.StartPage.bd.enc

Trojan.Revise.17.Client

计算机病毒查杀与安全防范小技巧

AS/400仿真后门服务器可在PC工作

安全设置Windows组策略有效阻止

DotClear prepend.php远程文件包

Trojan.Backage.31.c

上一篇：W32.Blackmal.E@mm
下一篇：W32.Mytob.CF@mm

热点关注

IDC资讯虚拟主机域名注册托管租用 vps主机智能建站
网站运营建站经验策划盈利搜索优化网站推广免费资源
网站联盟联盟新闻联盟介绍联盟点评网赚技巧
行业资讯业界动态搜索引擎网络游戏门户动态电子商务广告传媒
网络编程 Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术 Web服务器 Ftp服务器 Mail服务器 Dns服务器安全防护
软件技巧其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷 Internet Explorer
网页制作 FrontPages Dreamweaver Javascript css photoshop fireworks Flash
程序设计 Java技术 C/C++ VB delphi
网络知识网络协议网络安全网络管理组网方案 Cisco技术
操作系统 Win2000 WinXP Win2003 Mac OS Linux FreeBSD

版权所有西部数码(www.west263.com)
CopyRight (c) 2002~2007 west263.com all right reserved.
公司地址：四川成都市万和路90号天象大厦4楼　邮编：610031
电话总机：028-86263408 86263960 86264018 86267838 86262244 86263408
售前咨询：总机转201 202 203 204 205 206 207 208
售后服务：总机转211 212 213 214 217 218 晚上0点以后拔分机225