病毒名称：Worm_Sober.N

其它英文命名：Win32.Sober.N [Computer Associates]

Sober.P [F-Secure]

W32/Sober.p@MM [McAfee]

W32/Sober-N [Sophos]

W32.Sober.O@mm[Symantec]

WORM_SOBER.S [Trend Micro]

感染系统：Win9x/WinNT/Win2000/WinXP/Win2003

病毒长度： 53,554字节

病毒特征：

1、生成文件

蠕虫运行后，显示一下对话框，看上去是一个错误信息。同时，在%Windir%\\Connection Wizard\\Status\\和%system%目录下生成多个文件。（其中，%Windows% 为操作系统的安装目录，通常为 C:\\Windows 或 C:\\WINNT）

%Windir%\\Connection Wizard\\Status\\csrss.exe

%Windir%\\Connection Wizard\\Status\\packed1.sbr

%Windir%\\Connection Wizard\\Status\\packed2.sbr

%Windir%\\Connection Wizard\\Status\\packed3.sbr

%Windir%\\Connection Wizard\\Status\\services.exe

%Windir%\\Connection Wizard\\Status\\smss.exe

%Windir%\\Connection Wizard\\Status\\sacri1.ggg

%Windir%\\Connection Wizard\\Status\\sacri2.ggg

%Windir%\\Connection Wizard\\Status\\sacri3.ggg

%Windir%\\Connection Wizard\\Status\\voner1.von

%Windir%\\Connection Wizard\\Status\\voner2.von

%Windir%\\Connection Wizard\\Status\\voner3.von

%Windir%\\Connection Wizard\\Status\\sysonce.tst

%Windir%\\Connection Wizard\\Status\\fastso.ber

%System%\\adcmmmmq.hjg

%System%\\langeinf.lin

%System%\onrunso.ber

%System%\\seppelmx.smx

%System%\\xcvfpokd.tqa

2、修改注册表项

病毒创建注册表项，使得自身能够在系统启动时自动运行，在

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run下创建

"WinStart" = "%Windows%\\Connection Wizard\\Status\\services.exe"；

在HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run下创建

"_WinStart" = "%Windows%\\Connection Wizard\\Status\\services.exe"

3、通过电子邮件进行传播

蠕虫在被感染用户的系统内搜索多种扩展名的文件，找到电子邮件地址，并使用的自带的SMTP向这些地址发送带毒的电子邮件。

电子邮件格式如下：

英文

发信人：（为下列之一）

Admin

Hostmaster

Info

Postmaster

Register

Service

Webmaster

主题：（为下列之一）

Re:Your Password

Re:Registration Confirmation

Re:Your email was blocked

Re:mailing error

Re:

内容：分为两部分

第一部分（为下列之一）

ok ok ok,,,,, here is it

Account and Password Information are attached!

Visit: http:/ /www.[random domain]

This is an automatically generated E-Mail Delivery Status Notification.

Mail-Header, Mail-Body and Error Description are attached

第二部分（为下列之一）

Attachment-Scanner: Status OK

AntiVirus: No Virus found

Server-AntiVirus: No Virus (Clean)

http:/ / www.[random domain]

附件：（为下列之一）

our_secret.zip

mail_info.zip

error-mail_info.zip

account_info.zip

account_info-text.zip

德文

主题：（为下列之一）

Ihr Passwort

Mail-Fehler!

Ihre E-Mail wurde verweigert

Ich bin's, was zum lachen ;)

Glueckwunsch: Ihr WM Ticket

WM Ticket Verlosung

WM-Ticket-Auslosung

内容：分为两部分

第一部分（为下列之一）

Passwort und Benutzer-Informationen befinden sich in der beigefuegten Anlage.

http:/ /www.[random domain]

*-* MailTo: PasswordHelp

Diese E-Mail wurde automatisch erzeugt

Mehr Information finden Sie unter http:/ /www.[random domain]

Folgende Fehler sind aufgetreten:

Fehler konnte nicht Explicit ermittelt werden

Aus Datenschutzrechtlichen Gruenden, muss die vollstaendige E-Mail incl. Daten gezippt & angehaengt werden.

Wir bitten Sie, dieses zu beruecksichtigen.

Auto ReMailer#

Nun sieh dir das mal an

Was ein Ferkel ....

Herzlichen Glueckwunsch,

beim Run auf die begehrten Tickets fr die 64 Spiele der Weltmeisterschaft 2006 in Deutschland sind Sie

dabei.Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.

St. Rainer Gellhaus

--- Pressesprecher Jens Grittner und Gerd Graus

--- FIFA Fussball-Weltmeisterschaft 2006

--- Organisationskomitee Deutschland

--- Tel. 069 / 2006 - 2600

--- Jens.Grittner@ok2006.de

--- Gerd.Graus@ok2006.de

第二部分（为下列之一）

Mail-Scanner: Es wurde kein Virus festgestellt

AntiVirus: Kein Virus gefunden

AntiVirus-System: Kein Virus erkannt

WebSite: http:/ /www.[random domain]

附件：（为下列之一）

Mail-Scanner: Es wurde kein Virus festgestellt

AntiVirus: Kein Virus gefunden

AntiVirus-System: Kein Virus erkannt

WebSite: http:/ /www.[random domain]