发现： 2003 年 8 月 18 日

更新： 2007 年 2 月 13 日 12:09:49 PM

别名： Sobig.F [F-Secure], W32/Sobig.f@MM [McAfee], WORM SOBIG.F [Trend], W32/Sobig-F [Sophos], Win32.Sobig.F [CA], I-Worm.Sobig.f [KAV]

类型: Worm

感染长度： about 72,000 bytes

受感染的系统： Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP

由于客户提交数量的减少，以及病毒进入失效期，Symantec 安全响应中心在 2003 年 9 月 15 日将该威胁从类别 4 降级到类别 2。

W32.Sobig.F@mm 是具有网络意识的群发邮件蠕虫，它将自身发送到在具有以下扩展名的文件中找到的所有电子邮件地址：

* .dbx

* .eml

* .hlp

* .htm

* .html

* .mht

* .wab

* .txt

电子邮件例程详细信息

所发送的电子邮件具有下列特征：

发件人：虚假地址（即“发件人”字段中的发件人极有可能不是真正的发件人）。蠕虫可能会将地址 admin@internet.com 作为发件人。

注意：

o 虚假地址和收件人地址都是从在计算机上找到的文件中提取出来的。另外，蠕虫可能使用受感染计算机上的设置来检查可以联系的 SMTP 服务器。

o 选择 internet.com 域看起来是任意的，与实际的域或其父公司并无任何关系。

主题：

* Re: Details

* Re: Approved

* Re: Re: My details

* Re: Thank you!

* Re: That movie

* Re: Wicked screensaver

* Re: Your application

* Thank you!

* Your details

正文：

* See the attached file for details

* Please see the attached file for details.

附件：

* application.zip (contains application.pif)

* details.zip (contains details.pif)

* document_9446.zip (contains document_9446.pif)

* document_all.zip (contains document_all.pif)

* movie0045.zip (contains movie0045.pif)

* thank_you.zip (contains thank_you.pif)

* your_details.zip (contains your_details.pif)

* your_document.zip (contains your_document.pif)

* wicked_scr.zip (contains wicked_scr.scr)

注意：

* 蠕虫将在 2003 年 9 月 10 日停止活动，因此蠕虫进行传播的最后一天为 2003 年 9 月 9 日。

赛门铁克安全响应中心已经创建了用来杀除 W32.Sobig.F@mm 的工具。单击此处可获取该工具。

由于电子邮件欺骗的本质，会向无效的电子邮件地址发送病毒通知，因此产生大量无关的通信。缓解此问题的一个解决方法是，禁止基于网关和服务器的邮件产品发送的病毒通知邮件。

防护

* 病毒定义（每周 LiveUpdate™） 2003 年 8 月 19 日

* 病毒定义（智能更新程序） 2003 年 8 月 19 日

威胁评估

广度

* 广度级别： Low

* 感染数量： More than 1000

* 站点数量： More than 10

* 地理位置分布： High

* 威胁抑制： Easy

* 清除： Moderate

损坏

* 损坏级别： Medium

* 大规模发送电子邮件： Sends email to addresses collected from files with the following extensions: .wab, .dbx, .htm, .html, .eml, .txt.

* 泄露机密信息： May steal system information, including passwords.

分发

* 分发级别： High

* 电子邮件的主题： Varies

* 附件名称： Varies with .pif or .scr file extension

* 附件大小： About 72,000 bytes

* 端口： UDP 123, 8998

执行 W32.Sobig.F@mm 时，该蠕虫会执行下列操作：

1. 将自身复制为 %Windir%\\winppr32.exe。

注意：%Windir% 是一个变量。蠕虫会找到 Windows 安装文件夹（默认为 C:\\Windows 或 C:\\Winnt），然后将自身复制到其中。

2. 创建下列文件：

%Windir%\\winsst32.dat

3. 将值：

"TrayX"="%Windir%\\winppr32.exe /sinc"

添加到注册表键：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

这样蠕虫便可在 Windows 启动时运行。

4. 试图将其自身复制任何有权利进入的网络共享。蠕虫通过标准 Windows API 达到上述目的。

Sobig.F 能够将任意文件下载到感染的计算机并将其执行。 蠕虫作者使用此功能来盗取系统机密信息并在受感染计算机上建立垃圾邮件中转服务器。

该功能也可被蠕虫用于自我更新。 在合适的时机，Sobig.F 会尝试联系几台由蠕虫作者控制的主服务器，蠕虫在拿到一个 URL 后用它找到特洛伊木马程序，并将其下载到本地计算机后执行。

对于 Sobig.F，这个合适的时机是指：

* 格林威治时间（格林威治时间加 8 小时换算成北京时间）的星期一或星期五

* 格林威治时间的晚 7 点到 晚 11:59:59

Sobig.F 通过联系几台服务器的 123/UDP 埠 (NTP 埠) 来获取 UTP (网络时间协议) 以查知格林威治时间。

蠕虫向主服务器的 8998/udp 埠发送探测包，主服务器随后发还一个 URL，蠕虫就到这个 URL 下载特洛伊木马程序。

Sobit.E 还会打开下列埠：

* 995/udp

* 996/udp

* 997/udp

* 998/udp

* 999/udp

并在这些埠上监测传入的 UDP 数据包。 传入的数据会被解析，在收到到具有某特定签名的数据包后，蠕虫的主服务器清单会被更新。

建议网络管理员执行下面的操作：

* 停止 8898/udp 埠的出站通讯。

* 监视 123/udp 埠的可能来自于感染计算机的 NTP 请求。 对感染计算机检查需应每小时进行一次。

电子邮件欺骗

W32.Sobig.F@mm 使用称为“欺骗”的技术，随机选择一个它在受感染计算机上找到的地址，然后在执行其群发邮件例程时将此地址用作“发件人”地址。已经报告过大量这样的例子，即，未受感染的计算机的用户被抱怨向他人发送受感染的邮件。

例如，Linda Anderson 正在使用感染了 W32.Sobig.F@mm 的计算机。Linda 既未使用防病毒程序也没有最新的病毒定义。W32.Sobig.F@mm 执行其电子邮件例程时，找到 Harold Logan 的电子邮件地址。该蠕虫将 Harold 的电子邮件地址插入受感染邮件的“发件人”部分，然后将该邮件发送给 Janet Bishop。之后，Janet 与 Harold 联系，抱怨他向她发送了受感染的邮件，但当 Harold 扫描他的计算机时，Norton AntiVirus 并未发现任何问题，因为他的计算机并未受到感染。

Symantec Host IDS

2003 年 8 月 21 日，Symantec 发布了 Symantec Host IDS 4.1 的更新。

Intruder Alert

2003 年 8 月 21 日，Symantec 发布了Intruder Alert 3.6 W32_SobigF_Worm Policy。

Symantec ManHunt

已经发布了 Security Update 8，以提供 W32.Sobig.F.Worm 特定的特征。

Symantec Gateway Security

2003 年 8 月 22 日，Symantec 发布了 Symantec Gateway Security 1.0 的更新。

建议

赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”：

* 禁用并删除不需要的服务。 默认情况下，许多操作系统会安装不必要的辅助服务，如 FTP 服务器、telnet 和 Web 服务器。这些服务可能会成为攻击所利用的途径。 如果将这些服务删除，混合型威胁的攻击途径会大为减少，同时您的维护工作也会减少，只通过补丁程序更新即可完成。

* 如果混合型威胁攻击了一个或多个网络服务，则在应用补丁程序之前，请禁用或禁止访问这些服务。

* 始终安装最新的补丁程序，尤其是那些提供公共服务而且可以通过防火墙访问的计算机，如 HTTP、FTP、邮件和 DNS 服务（例如，所有基于 Windows 的计算机上都应该安装最新的 Service Pack）。. 另外，对于本文中、可靠的安全公告或供应商网站上公布的安全更新，也要及时应用。

* 强制执行密码策略。 复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。

* 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件，这些文件常用于传播病毒。

* 迅速隔离受感染的计算机，防止其对企业造成进一步危害。 执行取证分析并使用可靠的介质恢复计算机。

* 教育员工不要打开意外收到的附件。 并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序，那么访问受感染的网站也会造成病毒感染。

使用 W32.Sobig.F 杀毒工具进行杀毒

赛门铁克安全响应中心已经创建了用来杀除 W32.Sobig.F@mm 的工具。这是消除此威胁的最简便方法。单击此处可获取该工具。

手动杀毒

作为使用该杀毒工具的替代方法，您可以手动消除此威胁。

以下指导适用于所有当前和最新的 Symantec 防病毒产品，包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品。

注意：如果您在网络上或一直保持与 Internet 的连接，请断开计算机与网络或 Internet 的连接。在重新连接到网络之前，请从网络中的所有计算机中消除此威胁。在计算机与网络或 Internet 重新连接之前，请禁用或用密码保护文件共享。有关指导，请参阅 Windows 文档或文档：如何配置共享 Windows 文件夹尽可能的保护网络。

重要信息：请不要跳过此步骤。尝试杀除此蠕虫之前，请断开网络连接。。

1. 禁用系统还原（Windows Me/XP）。

2. 更新病毒定义。

3. 执行下列操作之一：

* Windows 95/98/Me：以安全模式重新启动计算机。

* Windows NT/2000/XP：终止特洛伊木马进程。

4. 运行完整的系统扫描，并删除所有被检测为 W32.Sobig.F@mm 的文件。

5. 删除添加到注册表的值。

有关每个步骤的详细信息，请阅读以下指导。

1. 禁用系统还原（Windows Me/XP）

如果您运行的是 Windows Me 或 Windows XP，建议您暂时关闭“系统还原”。此功能默认情况下是启用的，一旦计算机中的文件被破坏，Windows 可使用该功能将其还原。如果病毒、蠕虫或特洛伊木马感染了计算机，则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。

Windows 禁止包括防病毒程序在内的外部程序修改系统还原。因此，防病毒程序或工具无法删除 System Restore 文件夹中的威胁。这样，系统还原就可能将受感染文件还原到计算机上，即使您已经清除了所有其他位置的受感染文件。

此外，病毒扫描可能还会检测到 System Restore 文件夹中的威胁，即使您已将该威胁删除。

有关如何关闭系统还原功能的指导，请参阅 Windows 文档或下列文章之一：

* 如何禁用或启用 Windows XP 系统还原

* 如何禁用或启用 Windows Me 系统还原

2. 更新病毒定义

Symantec 在将病毒定义发布到服务器之前，会对所有病毒定义进行彻底测试，以确保其质量。可使用以下两种方法获取最新的病毒定义：

* 运行 LiveUpdate（这是获取病毒定义的最简便方法）：这些病毒定义被每周一次（通常在星期三）发布到 LiveUpdate 服务器上，除非出现大规模的病毒爆发情况。要确定是否可通过 LiveUpdate 获取此威胁的定义，请参考病毒定义 (LiveUpdate)。

* 使用智能更新程序下载病毒定义：智能更新程序病毒定义会在工作日（美国时间，星期一至星期五）发布。应该从 Symantec 安全响应中心网站下载病毒定义并手动进行安装。要确定是否可通过智能更新程序获取此威胁的定义，请参考病毒定义（智能更新程序）。

现在提供智能更新程序病毒定义：有关详细说明，请参阅如何使用智能更新程序更新病毒定义文件。

3. 以安全模式重新启动计算机或终止特洛伊木马进程

Windows 95/98/Me

以安全模式重新启动计算机。除 Windows NT 外，所有的 Windows 32 位操作系统均可以安全模式重新启动。有关如何完成此操作的指导，请参阅文档：如何以安全模式启动计算机。

Windows NT/2000/XP

要终止特洛伊木马进程，请执行下列操作：

1. 按一次 Ctrl+Alt+Delete。

2. 单击“任务管理器”。

3. 单击“进程”选项卡。

4. 双击“映像名称”列标题，按字母顺序对进程排序。

5. 滚动列表并查找 Winppr32.exe。

6. 如果找到该文件，则单击此文件，然后单击“结束进程”。

7. 退出“任务管理器”。

4. 扫描和删除受感染文件

1. 启动 Symantec 防病毒程序，并确保已将其配置为扫描所有文件。

* Norton AntiVirus 单机版产品：请阅读文档：如何配置 Norton AntiVirus 以扫描所有文件。

* 赛门铁克企业版防病毒产品：请阅读 如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件。

2. 运行完整的系统扫描。

3. 如果有任何文件被检测为感染了 W32.Sobig.F@mm，请单击“删除”。

5. 删除对注册表所做的更改

警告：赛门铁克强烈建议在进行任何更改前先备份注册表。错误地更改注册表可能导致数据永久丢失或文件损坏。应只修改指定的键。有关指导，请参阅文档：如何备份 Windows 注册表。

1. 单击“开始”，然后单击“运行”。（将出现“运行”对话框。）

2. 输入 regedit 然后单击“确定”。（将打开注册表编辑器。）

3. 导航至以下键：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

4. 在右窗格中，删除值：

"TrayX"="%Windir%\\winppr32.exe /sinc"

5. 退出注册表编辑器。

描述者： Benjamin Nahorney