病毒预报（2005.5.9- 2005.5.15）

栏目回收

病毒预报（2005.5.9- 2005.5.15）

来源：发布时间：2005-05-08访问次数：238

   国家计算机病毒应急处理中心通过对互联网的检测发现，近期出现了蠕虫Sober的新变种Worm_Sober.N。该蠕虫通过电子邮件的附件进行传播，同时运用了社会工程学的手法,目前很多通过邮件传播的蠕虫都是用这种方法，他们多使用能引起读者兴趣和一些诱人的字眼来吸引用户打开邮件。SoberN所发送的邮件就是假借国际足球联合会（FIFA）的名义，其内容声称收件人赢取了2006年德国世界杯的门票，运用该手段骗取用户运行邮件附件（附件大小为53K左右），从而遭受感染。邮件的内容有英文和德文两种形式。

   国家计算机病毒应急处理中心留意该蠕虫的特征，关注其发展变化，对于此类邮件谨慎处理，不要运行附件，防止受到感染。

病毒名称：Worm_Sober.N
其它英文命名：Win32.Sober.N [Computer Associates]
              Sober.P [F-Secure]
              W32/Sober.p@MM [McAfee]
              W32/Sober-N [Sophos]
              W32.Sober.O@mm[Symantec]
              WORM_SOBER.S [Trend Micro]
感染系统：Win9x/WinNT/Win2000/WinXP/Win2003
病毒长度： 53,554字节
病毒特征：

1、生成文件

   蠕虫运行后，显示一下对话框，看上去是一个错误信息。同时，在%Windir%\Connection Wizard\Status\和%system%目录下生成多个文件。（其中，%Windows% 为操作系统的安装目录，通常为 C:\Windows 或 C:\WINNT）

%Windir%\Connection Wizard\Status\csrss.exe
%Windir%\Connection Wizard\Status\packed1.sbr
%Windir%\Connection Wizard\Status\packed2.sbr
%Windir%\Connection Wizard\Status\packed3.sbr
%Windir%\Connection Wizard\Status\services.exe
%Windir%\Connection Wizard\Status\smss.exe
%Windir%\Connection Wizard\Status\sacri1.ggg
%Windir%\Connection Wizard\Status\sacri2.ggg
%Windir%\Connection Wizard\Status\sacri3.ggg
%Windir%\Connection Wizard\Status\voner1.von
%Windir%\Connection Wizard\Status\voner2.von
%Windir%\Connection Wizard\Status\voner3.von
%Windir%\Connection Wizard\Status\sysonce.tst
%Windir%\Connection Wizard\Status\fastso.ber
%System%\adcmmmmq.hjg
%System%\langeinf.lin
%System%\nonrunso.ber
%System%\seppelmx.smx
%System%\xcvfpokd.tqa

2、修改注册表项

   病毒创建注册表项，使得自身能够在系统启动时自动运行，在
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下创建
"WinStart" = "%Windows%\Connection Wizard\Status\services.exe"；
在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run下创建
"_WinStart" = "%Windows%\Connection Wizard\Status\services.exe"

3、通过电子邮件进行传播

   蠕虫在被感染用户的系统内搜索多种扩展名的文件，找到电子邮件地址，并使用的自带的SMTP向这些地址发送带毒的电子邮件。

电子邮件格式如下：
英文
发信人：（为下列之一）
Admin
Hostmaster
Info
Postmaster
Register
Service
Webmaster

主题：（为下列之一）
Re:Your Password
Re:Registration Confirmation
Re:Your email was blocked
Re:mailing error
Re:

内容：分为两部分
第一部分（为下列之一）
ok ok ok,,,,, here is it
Account and Password Information are attached!
Visit: http:/ /www.[random domain]
This is an automatically generated E-Mail Delivery Status Notification.
Mail-Header, Mail-Body and Error Description are attached

第二部分（为下列之一）
Attachment-Scanner: Status OK
AntiVirus: No Virus found
Server-AntiVirus: No Virus (Clean)
http:/ / www.[random domain]

附件：（为下列之一）
our_secret.zip
mail_info.zip
error-mail_info.zip
account_info.zip
account_info-text.zip

德文
主题：（为下列之一）
Ihr Passwort
Mail-Fehler!
Ihre E-Mail wurde verweigert
Ich bin's, was zum lachen ;)
Glueckwunsch: Ihr WM Ticket
WM Ticket Verlosung
WM-Ticket-Auslosung

内容：分为两部分
第一部分（为下列之一）
Passwort und Benutzer-Informationen befinden sich in der beigefuegten Anlage.
http:/ /www.[random domain]
*-* MailTo: PasswordHelp

Diese E-Mail wurde automatisch erzeugt
Mehr Information finden Sie unter http:/ /www.[random domain]
Folgende Fehler sind aufgetreten:
Fehler konnte nicht Explicit ermittelt werden
Aus Datenschutzrechtlichen Gruenden, muss die vollstaendige E-Mail incl. Daten gezippt & angehaengt werden.
Wir bitten Sie, dieses zu beruecksichtigen.
Auto ReMailer#

Nun sieh dir das mal an
Was ein Ferkel ....

Herzlichen Glueckwunsch,
beim Run auf die begehrten Tickets fr die 64 Spiele der Weltmeisterschaft 2006 in Deutschland sind Sie
dabei.Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.

St. Rainer Gellhaus
--- Pressesprecher Jens Grittner und Gerd Graus
--- FIFA Fussball-Weltmeisterschaft 2006
--- Organisationskomitee Deutschland
--- Tel. 069 / 2006 - 2600
--- Jens.Grittner@ok2006.de
--- Gerd.Graus@ok2006.de

第二部分（为下列之一）
Mail-Scanner: Es wurde kein Virus festgestellt
AntiVirus: Kein Virus gefunden
AntiVirus-System: Kein Virus erkannt
WebSite: http:/ /www.[random domain]

附件：（为下列之一）
Mail-Scanner: Es wurde kein Virus festgestellt
AntiVirus: Kein Virus gefunden
AntiVirus-System: Kein Virus erkannt
WebSite: http:/ /www.[random domain]

专家提醒：

1、各政府部门和企事业单位应在假期后，在开始其它工作之前，应先对杀毒软件和防火墙进行升级，对系统进行更新。然后对系统进行全面的病毒清查。

2、计算机一旦遭受病毒感染应首先断开网络（包括互联网和局域网），再进行病毒的检测和清除，避免病毒大范围传播，造成更严重的危害。

　

国家计算机病毒应急处理中心
计算机病毒防治产品检验中心
网址：Http://www.antivirus-China.org.cn
电　　话：022-66211488/66211489/66211490 转 8017
传　　真：022-66211487
电子邮件：sos@antivirus-China.org.cn
contact@antivirus-china.org.cn