简介

病毒行为

简介

病毒别名：Email-Worm.Win32.Sober.q(AVP)

处理时间：

威胁级别：★★

中文名称：

病毒类型：蠕虫

影响系统：Win9x / WinNT

病毒行为

这是一个通过电子邮件传播的蠕虫病毒，病毒通过添加启动项，修改文件关

联实现自启动，并在用户本地计算机中查找e-mail地址，并向这些地址发送邮

件，达到传播的目的。

1.在%windir%\\help\\help下产生以下三个大小相同的文件（64120字节）：

csrss.exe

services.exe

smss.exe

2.在%windir%\\system32文件夹下产生Spammer.ReadMe文件（170字节），内

容如下：

Ich bin immer noch kein Spammer!

Aber sollte vielleicht einer werden :)

In diesem Sinne

上面的两个网址是两条关于sober病毒的新闻，中间的德语大致意思是：我即

将成为spammer（不正当地使用网路来作为广播媒体传送相同的讯息给大量未

要求传送讯息的使用者的人）。

3.病毒在注册表启动项

HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

添加键值

SystemBoot="%windir%\\help\\help\\services.exe"

达到自启动的目的。

3.病毒尝试修改exe文件的关联项：

HKCR\\exefile\\shell\\open\\command

达到自启动的目的。

4.病毒扫描具有以下后缀的文件

pmr，phtm，stm，slk，inbox，imb，csv，bak，imh，xhtml，imm ，imh，cms，nws，vcf，ctl，dhtm，cgi

pp，ppt，msg，jsp，oft，vbs，uin，ldb，abc，pst，cfg，mdw，mbx，mdx，mda，adp，nab，fdb，vap，dsp

ade，sln，dsw，mde，frm，bas，adr，cls，ini，ldif，log，mdb，xml，wsh，tbb，abx，abd，adb，pl，rtf

mmf，doc，ods，nch，xls，nsf，txt，wab，emlhlp，mht，nfo，php，asp，shtml，dbx

从中获取e-mail地址，并发送邮件。