I-Worm/Sober.f

病毒长度：42,496 bytes

病毒类型：网络蠕虫

危害等级：**

影响平台：Win9X/2000/XP/NT/Me

I-Worm/Sober.f是用VB编写并经UPX压缩的网络蠕虫，作为邮件附件发送进行传播，邮件的主题和正文都是变化的一般使用语言为英文或德文。

传播过程及特征：

1.复制自身为：%System%\\<随机文件名>.exe

<随机文件名>从下列表中选择：

sys

host

dir

explorer

win

run

log

32

disc

crypt

data

diag

spool

service

smss32

2.修改注册表：

/添加键值："<任意值" = "%System%\\<随机文件名>.exe

到注册表：HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\<random filename>

/添加键值："<任意值>" = "%System%\\<随机文件名>.exe %1"

到注册表：HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce

3.生成下列文件：

%System%\\zmndpgwf.kxx

%System%\\zhcarxxi.vvx

%System%\\bcegfds.lll

%System%\\syst32win.dll

%System%\\winsys32xx.zzp

%System%\\winhex32xx.wrm

%System%\\spoofed_recips.ocx

4.如果系统不能连接网络，则会利用拨号进行连接并出现下列对话框：

Microsoft Windows

STOP: 0x80070725 {FatalSystemError}

System File [filename].exe

Connection lost or blocked by Firewall

5.在驱动器上扫描下列类型文件，从中搜索邮件地址，并将找到的邮件地址保存在%System%\\syst32win.dll下。：

.abc .abd .abx .adb .ade .adp .adr .asp .bas .cfg

.cgi .cls .ctl .dbx .dhtm .doc .dsp .dsw .eml

.fdb .frm .hlp .ini .jsp .ldb .dif .log .mbx

.mda .mdb .mde .mdw .mdx .mht .mmf .msg .nab

.nch .nfo .nsf .ods .oft .php .pl .pp .ppt .pst

.rtf .shtml .sln .tbb .txt .uin .vap .vbs .wab

.wsh .xls .xml

利用自带的SMTP引擎发送自身到上述地址，邮件发件人、正文和附件名都是变化的，一般用英文或德文表达。

注：%Windir%为变量，一般为C:\\Windows 或 C:\\Winnt；

%System%为变量，一般为C:\\Windows\\System (Windows 95/98/Me),

C:\\Winnt\\System32 (Windows NT/2000), 或

C:\\Windows\\System32 (Windows XP)。