大无级变种C（Worm.Sobig.c）病毒档案

知识库编号： RSV0512276

内容分类： 蠕虫病毒

关键词： 大无级;sobig.c

适用操作系统：Windows 操作系统

适用操作系统补丁版本：全部补丁适用

大无级变种C（Worm.Sobig.c）病毒档案

病毒介绍

瑞星命名：Worm.SoBig.C

中文名称：大无极变种C

该病毒与上一版本病毒（Worm.Sobig.B）相比，除了对其体内的字符串进行了加密处理外，最值得关注的是病毒限制自身传播的现象。瑞星的反病毒工程师在分析该病毒时发现，该病毒体内有一段时间判断代码。这在近期发现的病毒中是极其少见的，更为奇怪的是，这段时间判断代码不是病毒发作的条件，而是病毒对自身传播的限制条件，当系统时间大于2003年6月8日时，病毒将自动停止传播。

探究病毒“自残”的原因，瑞星资深反病毒专家分析说：“从病毒编写逻辑上讲，病毒作者肯定是希望其编写的病毒能够广泛传播，而这个病毒的一反常态，显示了一个危险的信号，就是该病毒只是一个测试版本，不久的将来，病毒编写者还会推出更厉害的新版本”。一般病毒编写者仅仅进行病毒编写，不会分阶段地进行测试，而这个大无极病毒变种6月8日自动失效的这个特性，表明了病毒编写已经进入“标准化”、“流程化”的正规阶段，这说明了一个新的病毒时代即将到来，而反病毒厂商的反病毒之路则更加艰辛。

病毒特征

一、拷贝自身

该病毒运行后，会将自己复制到Window目录下，命名为:mscvb32.exe，并修改注册表的自启动项进行自启动。

二、加密自身数据

该病毒对其体内的字符串进行了加密处理，增加了病毒分析的难度。

三、感染局域网

病毒会搜索本地局域网资源，并试图将病毒文件复制到局域网计算机中的：c$,d$,e$共享下的Windows\\All Users\\Start Menu\\Programs\\StartUp及Documents and Settings\\All Users\\Start Menu\\Programs\\Startup目录，增大病毒启动机会。

四、邮件传播

病毒会搜索磁盘中的*.web,*.txt,*.dbx*.htm,*.html及*.eml文件，并从中提取出mail地址进行邮件传播，邮件的标题可能为：

Re: Submited (004756-3463)

Re: Your application

Re: Movie

Re: 45443-343556

Re: Application

…

病毒邮件的附件名可能为：

screensaver.scr

submited.pif

documents.pif

movie.pif

45443.pif

application.pif

解决方案

1、瑞星杀毒软件15.38以上的版本可以彻底清除该病毒。

2、下载“大无级”（Worm.Sobig）病毒专杀工具进行查杀，下载链接地址http://it.rising.com.cn/service/technology/SoBig_download.htm