W32.Sobig.A@mm是一种蠕虫病毒。该蠕虫会将自身发送到它在。txt、.eml、.html、.htm、.dbx和。wab文件中找到的所有地址。由于提交次数的增加，Symantec安全响应中心自2003年1月13日起，将此威胁的级别从2类提升为3类。

发现： 2003 年 1 月 9 日

更新： 2007 年 2 月 13 日 11:43:08 AM

别名： W32/Sobig [McAfee], WORM_SOBIG.A [Trend], W32/Sobig-A [Sophos], I-Worm.Sobig [KAV], Win32.Sobig [CA]

类型: Worm

感染长度： 65,536 bytes

受感染的系统： Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP

病毒所发送的电子邮件具有下列特征：

发件人：big@boss.com

主题：主题为以下之一：

* Re: Movies

* Re: Sample

* Re: Document

* Re: Here is that sample

附件：附件为以下之一：

* Movie_0074.mpeg.pif

* Document003.pif

* Untitled1.pif

* Sample.pif

W32.Sobig.A@mm 在发送该邮件之前，会向 pagers.icq.com 的某个地址发送邮件。

蠕虫还试图将自身复制到所有开放的网络共享上的下列文件夹中：

* \\Windows\\All Users\\Start Menu\\Programs\\StartUp

* Documents and Settings\\All Users\\Start Menu\\Programs\\Startup

注意：赛门铁克接到的报告显示 W32.Sobig.A@mm 下载并安装特洛伊后门程序 Backdoor.Lala。

防护

* 病毒定义（每周 LiveUpdate™） 2003 年 1 月 10 日

* 病毒定义（智能更新程序） 2003 年 1 月 10 日

威胁评估

广度

* 广度级别： Low

* 感染数量： More than 1000

* 站点数量： More than 10

* 地理位置分布： High

* 威胁抑制： Easy

* 清除： Moderate

损坏

* 损坏级别： Low

* 大规模发送电子邮件： Sends itself to all the addresses found in the files .txt, .eml, .html, .htm, .dbx, and .wab

分发

* 分发级别： High

* 电子邮件的主题： Re: Movies Re: Sample Re: Document Re: Here is that sample

* 附件名称： Movie_0074.mpeg.pif, Document003.pif, Untitled1.pif, Sample.pif

* 附件大小： 65,536 bytes

* 共享驱动器： Copies itself to the startup directories on all the shared drives

执行 W32.Sobig.A@mm 时，此蠕虫会执行下列操作：

1. 将自身复制为 %Windir%\\Winmgm32.exe。

注意：%Windir% 是一个变量。蠕虫会找到 Windows 安装文件夹（默认为 C:\\Windows 或 C:\\Winnt），然后将自身复制到其中。

2. 创建 %Windir%\\Winmgm32.exe 进程，带有“start”参数。

Winmgm32.exe 进程会执行下列操作：

a. 创建名为 Worm.X 的互斥。

b. 创建用于向 pagers.icq.com 上的某个地址发送邮件的线程。

c. 创建用于将特定网站的内容下载到 %Windir%\\dwn.dat 文件的线程。然后，蠕虫将执行下载的内容。

d. 创建用于搜索网络上的所有开放共享、并将自身复制到这些共 享上的下列文件夹中的线程：

+ Windows\\All Users\\Start Menu\\Programs\\StartUp

+ Documents and Settings\\All Users\\Start Menu\\Programs\\Startup

e. 创建用于向蠕虫在具有下列扩展名的文件中找到的所有地址发送电子邮件的线程：

+ .txt

+ .eml

+ .html

+ .htm

+ .dbx

+ .wab

f. 将自身配置为在启动 Windows 时启动，方法是将下列值：

WindowsMGM %Windir%\\Winmgm32.exe

添加到注册表键：

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

电子邮件例程详细信息

在电子邮件例程中发送的邮件具有下列特征：

发件人：big@boss.com

主题：主题为以下之一：

o Re: Movies

o Re: Sample

o Re: Document

o Re: Here is that sample

附件：附件为以下之一：

o Movie_0074.mpeg.pif

o Document003.pif

o Untitled1.pif

o Sample.pif

蠕虫将它发送的电子邮件的收件人地址存储在 %Windir%\\Sntmls.dat 中。

建议

赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”：

* 禁用并删除不需要的服务。 默认情况下，许多操作系统会安装不必要的辅助服务，如 FTP 服务器、telnet 和 Web 服务器。这些服务可能会成为攻击所利用的途径。 如果将这些服务删除，混合型威胁的攻击途径会大为减少，同时您的维护工作也会减少，只通过补丁程序更新即可完成。

* 如果混合型威胁攻击了一个或多个网络服务，则在应用补丁程序之前，请禁用或禁止访问这些服务。

* 始终安装最新的补丁程序，尤其是那些提供公共服务而且可以通过防火墙访问的计算机，如 HTTP、FTP、邮件和 DNS 服务（例如，所有基于 Windows 的计算机上都应该安装最新的 Service Pack）。. 另外，对于本文中、可靠的安全公告或供应商网站上公布的安全更新，也要及时应用。

* 强制执行密码策略。 复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。

* 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件，这些文件常用于传播病毒。

* 迅速隔离受感染的计算机，防止其对企业造成进一步危害。 执行取证分析并使用可靠的介质恢复计算机。

* 教育员工不要打开意外收到的附件。 并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序，那么访问受感染的网站也会造成病毒感染。

杀毒工具

Symantec 提供了杀除 W32.Lirva.C@mm 的工具。单击此处可获得该工具。这是消除此威胁最简便的方法，应首先尝试此方法。

手动杀毒

以下指导适用于所有当前和最新的 Symantec 防病毒产品，包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品。

1. 更新病毒定义。

2. 通过执行下列操作，重新启动计算机或终止蠕虫进程：

* Windows 95/98/Me：以安全模式重新启动计算机。

* Windows NT/2000/XP：终止蠕虫进程。

3. 运行完整的系统扫描，并删除所有检测为 W32.Sobig.A@mm 的文件。

4. 撤消病毒对注册表所做的更改。

5. 查找并删除蠕虫创建的数据文件。

有关每个步骤的详细信息，请阅读以下指导。

1. 更新病毒定义

Symantec 安全响应中心在我们的服务器上发布任何病毒定义之前，会对其进行全面测试以保证质量。可以通过两种方式获得最新的病毒定义：

* 运行 LiveUpdate，这是获得病毒定义最简便的方法。如果未出现重大的病毒爆发情况，这些病毒定义会在 LiveUpdate 服务器上每周发布一次（一般为星期三）。要确定是否可以通过 LiveUpdate 获得解决该威胁的病毒定义，请见本说明顶部“防护”部分的病毒定义 (LiveUpdate) 部分。

* 使用“智能更新程序”下载病毒定义。“智能更新程序”病毒定义会在美国工作日（周一至周五）发布。您应当从 Symantec 安全响应中心网站下载定义并手动安装它们。要确定是否可以通过智能更新程序获得解决该威胁的病毒定义，请见本说明顶部“防护”部分的病毒定义（智能更新程序）。

智能更新程序病毒定义可从这里获得。若要了解如何从赛门铁克安全响应中心下载和安装智能更新程序病毒定义，请单击这里。

2. 以安全模式重新启动计算机或终止特洛伊木马进程

o Windows 95/98/Me

以安全模式重新启动计算机。除 Windows NT 外，所有的 Windows 32 位操作系统均可以安全模式重新启动。有关指导，请参阅文档：如何以安全模式启动计算机。

o Windows NT/2000/XP

要终止特洛伊木马进程，请执行下列操作：

1. 按一次 Ctrl+Alt+Del。

2. 单击“任务管理器”。

3. 单击“进程”选项卡。

4. 双击“映像名称”列标题，按字母顺序对进程排序。

5. 滚动列表并查找 Winmgm32.exe。

6. 如果找到该文件，则单击此文件，然后单击“结束进程”。

7. 退出任务管理器。

3. 扫描和删除受感染文件

1. 启动 Symantec 防病毒程序，并确保已将其配置为扫描所有文件。

o Norton AntiVirus 单机版产品：请阅读文档：如何配置 Norton AntiVirus 以扫描所有文件。

o 赛门铁克企业版防病毒产品：请阅读 如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件。

2. 运行完整的系统扫描。

3. 如果有任何文件被检测为感染了 W32.Sobig.A@mm，请单击“删除”。

4. 撤消对注册表所做的更改

警告：Symantec 强烈建议在更改注册表之前先进行备份。错误地更改注册表可能导致数据永久丢失或文件损坏。应只修改指定的键。有关指导，请参阅文档：如何备份 Windows 注册表。

1. 单击“开始”，然后单击“运行”。（将出现“运行”对话框。）

2. 键入 regedit，然后单击“确定”。（将打开注册表编辑器。）

3. 导航至以下键：

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

d. 在右窗格中，删除值：

WindowsMGM %windir%\\winmgm32.exe

e. 退出注册表编辑器。

5. 查找并删除数据文件

请根据您的操作系统，按照相应的指导进行操作：

o Windows 95/98/Me/NT/2000

1. 单击“开始”，指向“查找”或“搜索”，然后单击“文件或文件夹”。

2. 确保“搜索”设置为 (C:) 并选中“包括子文件夹”。

3. 在“名称”或“搜索…”框内，键入（或复制并粘贴）文件名：dwn.dat sntmls.dat。

4. 单击“开始查找”或“立即搜索”。

5. 删除显示的文件。

o Windows XP

1. 单击“开始”，然后单击“搜索”。

2. 单击“所有文件和文件夹”。

3. 在“全部或部分文件名称”框中，键入（或复制并粘贴）下列文件名：dwn.dat sntmls.dat。

4. 验证“在这里寻找”已设置为“本地硬盘”或 (C:)。

5. 单击“更多高级选项”

6. 选中“搜索系统文件夹”。

7. 选中“搜索子文件夹”。

8. 单击“搜索”。

9. 删除显示的文件。

描述者： Douglas Knowles