文章作者:peafowl
恶意程序类型: Worm
在外流行: 是
破坏性: 无
语言: 英语
平台: Windows 98, ME, NT, 2000, XP, Server 2003
加密: 无
综合风险等级: 中度
-------------------------------------------------------------------------------
感染报告: 低
破坏力: 低
感染力: 低
-------------------------------------------------------------------------------
描述:
2005年11月21日2:20 pm (PST, GMT -8:00),TrendLabs为控制一个SOBER新变种的传播,发布病毒中度风险警报。目前该变种正在美国、加拿大、巴西、新西兰和比利时传播当中。
这个蠕虫可以常驻内存,使用内置的SMTP引擎向收件人发送带有自身拷贝的电子邮件。由于在邮件传播过程中不需要用户的任何干预,因此用户通常不会注意到这个蠕虫在向外发送邮件。
蠕虫发送的邮件有如下细节特征:
发件人: {蠕虫生成的邮件地址}
主题: (其中之一)
• hi,_ive_a_new_mail_address
• Mail delivery failed
• Registration Confirmation
• smtp mail failed
• Spam: Registration Confirmation
• Your Password
• Your IP was logged
• Paris_Hilton_&_Nicole_Richie
• You visit illegal websites
正文: (其中之一)
hey its me, my old address dont work at time. i dont know why?!
in the last days ive got some mails. i' think thaz your mails but im not sure!
plz read and check ...
cyaaaaaaa
--
This is an automatically generated Delivery Status Notification.
SMTP_Error []
I'm afraid I wasn't able to deliver your message.
This is a permanent error; I've given up. Sorry it didn't work out.
The full mail-text and header is attached
---
Account and Password Information are attached!
***** Go to:
http://www.{random}.com
***** Email: {random}.com
---
Dear Sir/Madam,
we have logged your IP-address on more than 30 illegal Websites.
Important:
Please answer our questions!
The list of questions are attached.
Yours faithfully,
Steven Allison
*** Federal Bureau of Investigation -FBI-
*** 935 Pennsylvania Avenue, NW, Room 3220
*** Washington, DC 20535
*** phone: (202) 324-3000
--
Account and Password Information are attached! ---
The Simple Life:
View Paris Hilton & Nicole Richie video clips , pictures & more ;)
Download is free until Jan, 2006!
Please use our Download manager.
附件 : (其中之一)
• mailtext.zip
• mail.zip
• reg_pass.zip
• mail.zip
• reg_pass-data.zip
• question_list.zip
• list.zip
• downloadm
• mail_body.zip
附件中的ZIP文件含有如下文件名的蠕虫自身拷贝:
File-packed_dataInfo.exe
在运行时,蠕虫会显示如下的虚假错误信息,以欺骗用户相信所点击的这个蠕虫不能正常运行:
这个蠕虫会搜索受感染系统中的名为mrt.exe的进程,这是Microsoft Windows Malicious Software Removal Tool(微软Windows恶意软件删除工具)进程。如果找到,蠕虫会终止掉上述进程,使系统面对恶意攻击变得更加脆弱。
解决办法
1.终止恶意程序
2.删除注册表中的自启动项目
从注册表中删除自动运行项目来阻止恶意程序在启动时执行。
1.打开注册表编辑器。点击开始>运行,输入REGEDIT,按Enter
2.在左边的面板中,双击:
HKEY_CURRENT_USER>SOFTWARE>Microsoft>
Windows>CurrentVersion>Run
3.在右边的面板中,找到并删除如下项目:
_Windows = "%Windows%\WinSecurity\services.exe"
4.在左边的面板中,双击:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>
Windows>CurrentVersion>Run
5.在右边的面板中,找到并删除如下项目:
_Windows = "%Windows%\WinSecurity\services.exe"
关闭注册表编辑器
--------------------------------------------------------------------------------
注意:如果不能按照上述步骤终止运行在内存中的恶意进程,请重启系统。
删除恶意程序生成文件
这一步可删除恶意程序生成的文件
1.右击开始,点击搜索或寻找,这取决于当前运行的Windows版本。
2.在名称输入框中,输入:
bbvmwxxf.hml
3.在搜索下拉列表中,选择含有Windows的驱动器,然后按回车。
4.一旦找到,点击该文件然后选择删除。
5.对如下文件重复步骤2-4:
filesms.fms
langeinf.lin
nonrunso.ber
rubezahl.rub
runstop.rst
