加入收藏 | 设为首页 | 会员中心 | 我要投稿 核心网 (https://www.hxwgxz.com/)- 科技、建站、经验、云计算、5G、大数据,站长网!
当前位置: 首页 > 编程 > 正文

江民公布I-Worm/Sobig.f最新变种技术分析报告

发布时间:2019-06-11 07:08:32 所属栏目:编程 来源:蓝点
导读:> 北京江民新科技术有限公司快速病毒反应小组截获I-Worm/Sobig的最新变种:I-Worm/Sobig.f.目前监测到的情况是该蠕虫传播正在扩大。 该蠕虫影响的操作系统包括流行的所有WINDOWS操作系统:Windows 9X, Windows Me, Windows 2000,Windows NT, Windows XP 等
>   北京江民新科技术有限公司快速病毒反应小组截获I-Worm/Sobig的最新变种:I-Worm/Sobig.f.目前监测到的情况是该蠕虫传播正在扩大。



  该蠕虫影响的操作系统包括流行的所有WINDOWS操作系统:Windows 9X, Windows Me, Windows 2000,Windows NT, Windows XP 等。



  一、和以前其变种一样,该网络蠕虫具备基本蠕虫特征:



  (一)搜索可能正确的EMAIL地址,然后疯狂向找到的Email地址发送含有该蠕虫的信件。



  该蠕虫为了扩大传播,搜索邮件地址是在如下的扩展名称中查找的,这些文件最可能含有有效的邮件地址,它们是:



  dbx 文件(微软OUTLOOK邮件系统保存文件类型)、



  eml 文件(通用邮件文件扩展名称)、



  hlp 文件(帮助文件)、



  htm 文件、html文件(网页文件)、



  mht 文件(网页文件)、



  wab 文件(微软地址薄文件)、



  txt 文件(纯文本文件)。



  在以上的文件类型中,最可能含有有效邮件地址的文件类型有:dbx,eml以及wab文件。



  病毒是给每个找到的邮件地址发送自身,因此该网络蠕虫传播面会很大。



  (二)感染网络邻居:



  搜索可写的网络邻居上的机器的目录,将自身拷贝到该目录下。



  二、I-Worm/Sobig.f网络蠕虫的识别:



  需要说明的是:邮件地址的发送人都是写假装的地址、不要真的以为是那些人发送给您的该网络蠕虫。



  该网络蠕虫的邮件主题可能看起来象是一封回信:



  Re: Details (详细信息)



  Re: Approved (证实)



  Re: Re: My details (我的个人详细信息)



  Re: Thank you! (谢谢)



  Re: That movie (那个电影)



  Re: Wicked screensaver (屏保)



  Re: Your application (您的应用程序)



  Thank you! (谢谢)



  Your details(您的详细信息)



  邮件的内容是纯英文的:



  See the attached file for details



  Please see the attached file for details.



  (大意是:请打开附件,看详细信息)



  附件可能的文件名称是:



  your_document.pif



  document_all.pif



  thank_you.pif



  your_details.pif



  details.pif



  document_9446.pif



  application.pif



  wicked_scr.scr



  movie0045.pif



  这些附件文件大约是:72000字节



  三、I-Worm/Sobig.f的技术特征:



  当该蠕虫被用户从邮件中打开运行,它首先将自身拷贝到WINDOWS目录下,以文件winppr32.exe存在,同时创建文件winsst32.dat.



  为了使系统每次启动该蠕虫都能自动运行,该蠕虫还修改系统注册表:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun



  增加的值是:TrayX ,指向WINDOWS目录下的蠕虫程序主体winppr32.exe文件,该蠕虫文件带参数sinc运行。



  试图将蠕虫自身拷贝到网络共享。



  蠕虫还能偷密码信息,同时能将受感染的机器设置成垃圾邮件服务器发送大量的网络蠕虫。



  蠕虫能自动升级,在合适的情况下,该蠕虫还能联系一些蠕虫作者控制的服务器,并从这些主服务器上获得木马程序,



  并下载到感染病毒的机器,运行该木马程序。



  蠕虫利用的计算机的端口地址有:UDP 123 端口; UDP 8998 端口;UDP 995,996,997,998,999等端口。



  四、措施:



  关闭UDP的995-999,8998端口。



  监视UDP的123的NTP请求(该蠕虫利用该蠕虫来获得有用信息)。



  五、相关好大网络蠕虫的连接:



  2003年6月26日



  I-Worm/Sobig.e 病毒分析报告:



  http://www.jiangmin.com/exec/news_sys/news/jiangmin/index/important/2003626145538.htm



  2003年5月21日



  I-Worm/Sobig.b病毒分析报告:



  http://www.jiangmin.com/exec/news_sys/news/jiangmin/index/important/2003521155616.htm



  六、江民杀毒软件KV2004来防杀该病毒:



  智能升级到最新版,来开启所有六项监控来预防该病毒。



  该蠕虫的大面积的传播和漏洞无关,它利用的是人们的好奇心,江民科技提醒广大计算机用户,不要打开来历不明的信件,特别是以上分析中指出的样式的邮件。



来源: 千龙科技  

(编辑:核心网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
    相关内容
      推荐文章
      站长推荐
      热点阅读

        【免责声明】本站内容转载自互联网,其发布内容言论不代表本站观点,如果其链接、内容的侵犯您的权益,烦请提交相关链接至邮箱bqsm@foxmail.com我们将及时予以处理。

        建议您使用1920×1080分辨率、谷歌浏览器Google Chrome、Microsoft Edge以获得本站的最佳浏览效果

        Copygight © 2008-2022 https://www.hxwgxz.com/ All Rights Reserved. 核心网