| 江民公布最新I-Worm/Sobig.f蠕虫的技术分析 | ||||
|---|---|---|---|---|
| http://www.sina.com.cn 2003年08月21日 16:06 ChinaByte | ||||
|
北京江民新科技术有限公司快速病毒反应小组截获I-Worm/Sobig的最新变种:I-Worm/Sobig.f.目前监测到的情况是该蠕虫传播正在扩大。 该蠕虫影响的操作系统包括流行的所有WINDOWS操作系统:Windows 9X, Windows Me, Windows 2000,Windows NT, Windows XP等。 一、和以前其变种一样,该网络蠕虫具备基本蠕虫特征: (一)搜索可能正确的EMAIL地址,然后疯狂向找到的Email地址发送含有该蠕虫的信件。 该蠕虫为了扩大传播,搜索邮件地址是在如下的扩展名称中查找的,这些文件最可能含有有效的邮件地址,它们是: dbx文件(微软OUTLOOK邮件系统保存文件类型)、 eml文件(通用邮件文件扩展名称)、 hlp文件(帮助文件)、 htm文件、html文件(网页文件)、 mht文件(网页文件)、 wab文件(微软地址薄文件)、 txt文件(纯文本文件)。 在以上的文件类型中,最可能含有有效邮件地址的文件类型有:dbx,eml以及wab文件。 病毒是给每个找到的邮件地址发送自身,因此该网络蠕虫传播面会很大。 (二)感染网络邻居: 搜索可写的网络邻居上的机器的目录,将自身拷贝到该目录下。 二、I-Worm/Sobig.f网络蠕虫的识别: 需要说明的是:邮件地址的发送人都是写假装的地址、不要真的以为是那些人发送给您的该网络蠕虫。 该网络蠕虫的邮件主题可能看起来象是一封回信: Re: Details (详细信息) Re: Approved (证实) Re: Re: My details (我的个人详细信息) Re: Thank you! (谢谢) Re: That movie (那个电影) Re: Wicked screensaver (屏保) Re: Your application (您的应用程序) Thank you! (谢谢) Your details(您的详细信息) 邮件的内容是纯英文的: See the attached file for details Please see the attached file for details. (大意是:请打开附件,看详细信息) 附件可能的文件名称是: your_document.pif document_all.pif thank_you.pif your_details.pif details.pif document_9446.pif application.pif wicked_scr.scr movie0045.pif 这些附件文件大约是:72000字节 三、I-Worm/Sobig.f的技术特征: 当该蠕虫被用户从邮件中打开运行,它首先将自身拷贝到WINDOWS目录下,以文件winppr32.exe存在,同时创建文件winsst32.dat. 为了使系统每次启动该蠕虫都能自动运行,该蠕虫还修改系统注册表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 增加的值是:TrayX ,指向WINDOWS目录下的蠕虫程序主体winppr32.exe文件,该蠕虫文件带参数sinc运行。 试图将蠕虫自身拷贝到网络共享。 蠕虫还能偷密码信息,同时能将受感染的机器设置成垃圾邮件服务器发送大量的网络蠕虫。 蠕虫能自动升级,在合适的情况下,该蠕虫还能联系一些蠕虫作者控制的服务器,并从这些主服务器上获得木马程序,并下载到感染病毒的机器,运行该木马程序。 蠕虫利用的计算机的端口地址有:UDP 123端口;UDP 8998端口;UDP 995,996,997,998,999等端口。 四、措施: 关闭UDP的995-999,8998端口。 监视UDP的123的NTP请求(该蠕虫利用该蠕虫来获得有用信息)。 五、相关好大网络蠕虫的连接: 2003年6月26日 I-Worm/Sobig.e病毒分析报告: www.jiangmin.com/exec/news_sys/news/jiangmin/index/important/2003626145538.htm 2003年5月21日 I-Worm/Sobig.b病毒分析报告: www.jiangmin.com/exec/news_sys/news/jiangmin/index/important/2003521155616.htm 六、江民杀毒软件KV2004来防杀该病毒: 智能升级到最新版,来开启所有六项监控来预防该病毒。 该蠕虫的大面积的传播和漏洞无关,它利用的是人们的好奇心,江民科技提醒广大计算机用户,不要打开来历不明的信件,特别是以上分析中指出的样式的邮件。
投票! 赢超酷腕表式手机! |
| 首页 ● 新闻 ● 体育 ● 娱乐 ● 游戏 ● 邮箱 ● 搜索 ● 短信 ● 聊天 ● 天气 ● 答疑 ● 导航 |
 | 新浪首页 > 科技时代 > 软件 > “冲击波”病毒在国内迅速泛滥专题 > 正文 |  |
 |
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||||
|
科技时代意见反馈留言板 电话:010-82628888-5488 欢迎批评指正 新浪简介 | About Sina | 广告服务 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑 Copyright © 1996 - 2003 SINA Inc. All Rights Reserved  版权所有 新浪网 |