病毒名称：I-Worm/Sober.jh

病毒长度：59,747

病毒类型：网络蠕虫

危害等级：**

影响平台：Win9X/2000/XP/NT/Me

I-Worm/Sober.jh是经UPX压缩的邮件群发病毒。邮件名及邮件内容以德文居多，且邮件名带有一定的引诱性。当收件人打开附件时，会跳出一个虚假的错误报告激活病毒。

传播过程及特征：

1、以随机文件名将自己复制到系统目录下。

2、在系统目录下两次创建文件。当一个文件被删除时，另一个文件会继续创建，以达到无法被轻易删除的目的。

3、在注册表

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce

下添加键值

"<所创建的随机文件名>" = "%System%\\<所创建的随机文件名>.exe %1"

以达到开机自启的目的。

4、利用特定域名服务器获取微软、雅虎、google、hotmail等网站的IP地址。然后利用系统默认的域名服务器大量发送携带病毒的邮件。

5、搜索被感染计算机上的邮件地址并进行选择，以避开向反病毒站点等发送邮件。

6、利用自带的SMTP引擎向搜索到的有效地址发送携带病毒的邮件。

7、邮件附件一般以.bat .com .pif .scr .zip为扩展名。