病毒名称：Win32.Sobig

其它名称：WORM_Sobig.A, W32.Sobig.A@mm

病毒属性：蠕虫病毒 危害性：中等危害 流行程度：高

具体介绍：

Win32.Sobig是一种使用自己的引擎通过e-mail及共享驱动器传播的蠕虫。

传播蠕虫的邮件使用下列主题：

Re: Here is that sample

Re: Document

Re: Sample

Re: Movies

附件名称可能是下面列表中的一个：

Sample.pif

Untitled1.pif

Document003.pif

Movie_0074.mpeg.pif

邮件的正文非常简单：

Attached file:

运行时，蠕虫会拷贝自己的副本到：

%windows%\\winmgm32.exe

蠕虫也修改下面这两个注册表键值，以便每次Windows启动这份拷贝就会自动运行：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\WindowsMGM="%windows%\\winmgm32.exe"

HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\WindowsMGM="%windows%\\winmgm32.exe"

注意：只有当这些注册表键值存在时，蠕虫才会修改注册表。所以，第2个键值在Windows98上不会存在，因为下面这个键值并不存在：

HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

蠕虫会搜索有下面这些扩展名的文件，以便向这些文件中的邮件地址发送e-mail。

txt

eml

html

htm

dbx

wab

蠕虫也尝试拷贝自己的副本到下面这个地方，从而传播到Windows的远程共享：

Documents and Settings\\All Users\\Start Menu\\Programs\\Startup Windows\\All Users\\Start Menu\\Programs\\StartUp

蠕虫会尝试从www.geocities.com站点上下载文件，而这个文件则包含了蠕虫下载以及运行的另外一个互联网地址。这个文件以"dwn.dat"为文件名被保存在Windows目录下。运行后，这个下载文件其实就是Win32.Zasil trojan.木马的一个变种。