I-Worm/Sober.g

病毒长度：49,661 字节(压缩后) 184,829 字节(解压后)

病毒类型：网络蠕虫

危害等级：**

影响平台：Win9X/2000/XP/NT/Me/2003

I-Worm/Sober.g是用UPX压缩的并用Visual Basic编写的网络蠕虫，通过使用自己的SMTP引擎进行传播。它发出的邮件具有变化的主题、正文和附件名称，这些邮件使用英文或德文编写。

传播过程及特征：

1.生成文件：

%System%\\bcegfds.lll

%System%\\cvqaikxt.apk

%System%\\datsobex.wwr

%System%\\wincheck32.dats

%System%\\winexpoder.dats

%System%\\winzweier.dats

%System%\\xdatxzap.zxp

%System%\\zhcarxxi.vvx

%System%\oSpam.readme

复制自身为：

%System%\\<string>.exe

注：<string>为下列之一(下同)：

sys ，host ，dir ，explorer ，win ，run ，

log ，32 ，disc ，crypt ，data ，diag ，spool ，

service ，smss32

2.修改注册表：

/添加键值："<string>" = "<蠕虫路径> %1"

到注册表：HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce

/添加键值："<string>"="<蠕虫路径>.exe"

到注册表：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

3.在TCP端口37连接远程HOST，通过HTTP下载文件，将下载的文件存储为%System%\\doerkggg.exe并执行。

4.从所有固定硬盘上的某些类型的文件中搜索邮件地址：

pmr stm slk inbox imb csv bak imh xhtml imm imh

cms nws vcf ctl dhtm cgi pp ppt msg jsp oft vbs

uin ldb abc pst cfg mdw mbx mdx mda adp nab fdb

vap dsp ade sln dsw mde frm bas adr cls ini ldif

log mdb xml wsh tbb abx abd adb pl rtf mmf doc

ods nch xls nsf txt wab eml hlp mht nfo php asp

shtml dbx

利用自带的SMTP引擎发送自身到上述地址，并避免向各大信息及安全厂商发送邮件，邮件具有变化的主题、正文和附件名称，附件可能有.bat, .com, .pif, .scr, .zip 等扩展名，或者为双扩展名，这些邮件使用英文或德文编写。

5.用系统默认的DNS服务器或自带的得到目的主机IP。

注：%Windir%为变量，一般为C:\\Windows 或 C:\\Winnt；

%System%为变量，一般为C:\\Windows\\System (Windows 95/98/Me),

C:\\Winnt\\System32 (Windows NT/2000),

或 C:\\Windows\\System32 (Windows XP)。