I-Worm/Sober.e

病毒长度：30,720 字节

病毒类型：网络蠕虫

危害等级：**

影响平台：Win9X/2000/XP/NT/Me/2003

I-Worm/Sober.e用自带的SMTP引擎发送自身进行传播，并试图从一些站点下载并执行文件。邮件的主题和正文是变化的，而且使用的语言为英语。

传播过程及特征：

1.复制自身到系统目录下，文件名为<filename>.exe

2.修改注册表：

/生成子键：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\<filename>

/添加键值："<任意值>" = "%System%\\<filename>.exe %1"

到注册表：HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce

注： <filename>为下列之一：

sys 、host 、dir 、explorer 、win 、run 、log 、

32 、disc 、crypt 、data 、diag 、spool 、service 、

smss32

3.生成文件：

%System%\\msWord.wrd

%System%\\MsHelp32.dat

%System%\\WinRun32.dll

%System%\\bcegfds.lll

%System%\\zmndpgwf.kxx

4.运行画笔工具或显示一个对话框，内容为： Graphic modul not found

5.如果系统不能连接因特网，蠕虫会利用所有可能的内置连接，并出现一个提示框。

6.在TCP端口37连接下列NTP服务器确定日期：

Rolex.PeachNet.edu

ntps1-1.cs.tu-berlin.de

ntp2.fau.de

ptbtime2.ptb.de

time.nrc.ca

ntp.metas.ch

ntps1-0.cs.tu-berlin.de

ntp0.fau.de

timelord.uregina.ca

ntp-1.ece.cmu.edu

ptbtime1.ptb.de

time.ien.it

ntp3.fau.de

time.chu.nrc.ca

clock.psu.edu

ntp1.fau.de

如果系统时间在2004.3.24之后，则会在TCP端口80从站点home.arcor.de 和people.freenet.de 下载并执行文件%Windows%\dhaqqth.exe

7.遍历计算机所有固定驱动器，从特定类型文件中搜索邮件地址，并保存到文件%System%\\WinRun32.dll

.abd 、.abx 、.adb 、.asp 、.dbx 、.doc 、.eml 、

.ini 、.log 、.mdb 、.php 、.pl 、.rtf 、.shtml 、

.tbb 、.ttt 、.txt 、.wab 、.xls

发送自身到上述地址，邮件特征：

发件人、主题、正文、附件名都是变化的，附件名为下列之一：

Text.zip

Text.pif

Read.zip

Read.pif

Graphic-doc.zip

Graphic-doc.pif

document.zip

document.pif

Word.zip

Word.pif

此外蠕虫会避开包含arcor,bigfoot,hotmail,online,web,yahoo等字符串的邮件地址。

注：%Windir%为变量，一般为C:\\Windows 或 C:\\Winnt；

%System%为变量，一般为C:\\Windows\\System (Windows 95/98/Me),

C:\\Winnt\\System32 (Windows NT/2000),

或 C:\\Windows\\System32 (Windows XP)。