Worm.Sober.i简介_Worm.Sober.i个人资料_Worm.Sober.i微博_百科网
A-A+

Worm.Sober.i简介_Worm.Sober.i个人资料_Worm.Sober.i微博

2018-10-09 01:07:50 科学百科 阅读 27 次

  

病毒别名/Worm.Sober.i 编辑

Worm.Sober.i

 

病毒介绍/Worm.Sober.i 编辑

处理时间:
威胁级别:★★★
中文名称:
病毒类型:蠕虫
影响系统:Win9x/ WinNT
病毒行为:
该病毒通过电子邮件进行传播,病毒运行时,会弹出“WinZip_Data_Module is missing ~Error:”对话框迷惑用户,病毒会搜索感染机器的电子邮件,然后发送大量病毒信件,可能会造成严重的网络堵塞。

1、在系统目录中生成如下文件:
%System%clonzips.ssc(Base64编码)
%System%zippedsr.piz(Base64编码)
%System%clsobern.isc(Base64编码)
%System%nonzipsr.noz(Base64编码)
%System%%Rand1%.exe(病毒本身)
%System%%Rand2%.exe(病毒本身)

2、在注册表中添加如下键值:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

%Rand3% = "%System%%Rand1%.exe"
%Rand4% = "%System%%Rand2%.exe %srun%"

3、病毒运行后,会弹出一个对话框,写有如下字符串:
“WinZip_Data_Module is missing ~Error:”

4、病毒会从以下扩展名文件中搜索电子邮件地址
abc
abd
abx
adb
ade
adp
adr
aero
asp
bak
bas
cfg
cgi
cls
cms
com
coop
csv
ctl
dbx
dhtm
doc
dsp
dsw
edu
eml
fdb
frm
gov
hlp
imb
imh
imh
imm
inbox
info
ini
jsp
ldb
LDIF
log
mbx
mda
mdb
mde
MDW
mdx
mht
mmf
msg
museum
nab
name
nch
net
nfo
nsf
NWS
ods
oft
org
php
pl
pmr
pp
ppt
pro
pst
rtf
shtml
slk
sln
stm
tbb
txt
uin
vap
vbs
vcf
wab
wsh
xhtml
xls
xml

5、病毒会过滤含有以下字符的电子邮件:
.dial.
.kundenserver.
.ppp.
.qmail@
.sul.t-
@arin
@avp
@ca.
@example.
@foo.
@from.
@gmetref
@iana
@ikarus.
@kaspers
@messagelab
@msn
@nai.
@panda
@smtp.
@sophos
@spiegel.
@www
abuse
announce
AntiVir
anyone
anywhere
bellcore.
bitdefender
clock
-dav
detection
domain.
Emsisoft
ewido.
freeav
free-av
ftp.
gold-certs
google
host.
icrosoft.
ipt.aol
law2
linux
mailer-daemon
me@
mozilla
msdn.
mustermann@
nlpmail01.
noreply
nothing
ntp-
ntp@
office
password
postmas
reciver@
redaktion
secure
service
smtp-
somebody
someone
spybot
sql.
subscribe
support
t-dialin
time
t-ipconnect
user@
variabel
verizon.
viren
virus
whatever@
whoever@
winrar
winzip
you@
yourname

6、病毒发送邮件可能为以下之一(英文或德文):
主题:
hi there
hey dude!
wazzup!!!
yeah dude :P
Details
Oh God it's
damn!
Registration confirmation
Confirmation
Your Password
Your mail account
Delivery failure notice
Faulty mail delivery
Mail delivery failed
Mailing Error
Illegal signs in E-Mail
Invalid mail length
Mail Delivery failure
mail delivery status
Warning!
error in dbase
DBase Error
ups, i've got your mail
Sorry, that's your mail
why do you do that?
Life's a Bitch
Smiling Like a Killer
lol,wat'nlosey?
Informationvon
FalscheMailzustellung
FehlerinIhrerE-Mail
IhreE-Mailwarfehlerhaft
ESMTPError
UngültigeVariableninihrerE-Mail
Verbindungwurdegetrennt
Mail_Fehler
IhrneuerAccount
NeueAccountDaten
Siehabennichtgezahlt
Rechnung
Hi,seivorsichtig!
Achtung!gef?hrlicherVirus!
Schongeh?rt?
DieTools!
DeinZeug's!
Hierfürdich^^
BestellungsBest?tigung
Lieferungs-Best?tigung
Ok,hieristmein
Ichhabemichindichv

7、内容为以下的组合:
I was surprised, too!

Who_could_suspect_something_like_that? shityiiiii

Your password was changed successfully!

Protected message is attached!

_delivery_error
_does_not_like_
_failed_after_I_sent_the_message
_Requested_action_not_taken
Anti_Virus: No Virus was found
Attachment: No Virus found
disabled
discontinued
Giving_up_on_
Mail_Scanner: No Virus
MAILBOX NOT FOUND
mailbox_unavailable
recipient.
Remote_host_said:
sender.
This_account_has_been_

Diese Information ist gesch
Da Sie uns Ihre Pers
Viel Vergn
****
Im I-Net unter: http://www.%damin%
Diese Information ist geschützt durch ein Passwort!
Da Sie uns Ihre Pers?nlichen Daten zugesandt haben, ist das Passwort Ihr Geburts- Datum.
Viel Vergnügen mit unserem Angebot!
****
Im I-Net unter: http://www.%damin%
Folgende Fehler wurden aufgezeichnet:
STOP mailer

Aus Datenschutzrechtlichen Gründen, darf die vollst?ndige E-Mail incl. Daten nur angeh?ngt werden.
Wir bitten Sie, dieses zu berücksichtigen.
Automatic-Mail.Config#:

Guten Tag,
da unsere Datenbanken leider durch einen Programm Fehler zerst?rt wurden, mussten wir leider eine ?nderung bezüglich Ihrer Nutzungs- Daten vornehmen. Ihre ge?nderten Account Daten, befinden Sie im beigefügten Dokument.
Vielen dank für Ihr Verst?ndnis.

*-*-* Mail_Scanner: No Virus
*-*-* %damin%- Anti_Virus Service
*-*-* http://www.%damin%
++++++ User-Service: http://www.%damin%
++++++ Mailto: postmaster %damin%

------<> GmbH & Co. KG
------ Send-To: Home-Service@.com
------ www.%damin%
*-*-* X-MS_Scanner: Kein Virus erkannt
*-*-* Attachment-Scanner: NO VIRUS
*-*-* Anti_Virus: Es wurde kein Virus gefunden

*-*-* <域名>- Anti_Virus Service
*-*-* http://www.%damin%
8、附件名可能为以下之一:

%damin%
auto__mail
im_shocked
mail
oh_nono
re_mail
thats_hard


9、扩展名可能为以下之一:
bat
com
doc
eml
exe
pif
scr
txt
word
xls
zip

10、该蠕虫用VB编写