最新电邮病毒W32.Sober.P@mm
Win32.Sober.N, Sober.P, W32/Sober.p@MM, Sober.O@mm, W32/Sober-N, W32.Sober.O@mm, WORM_SOBER.S, Email-Worm.Win32.Sober.p
内容

W32.Sober.P@mm 是 Sober 系列的一个新变种。它是一种大量传送电子邮件的蠕虫，从受感染的电脑上收集电邮地址，然后经自己的SMTP 引擎投寄出去。这些电邮采用的语言可能是英文或德文。详细电邮特征，请参考 附录。

当蠕虫档案被启动，它会显示以下的讯息视窗：



蠕虫会将自己复制到 %Windows%\Connection Wizard\Status 资料夹并命名为以下的档案名称：

csrss.exe
smss.exe
services.exe

它亦会在 %Windir%\Connection Wizard\Status 资料夹建立以下的档案：

packed1.sbr
packed2.sbr
packed3.sbr
sacri1.ggg
sacri2.ggg
sacri3.ggg
voner1.von
voner2.von
voner3.von
sysonce.tst
fastso.ber

和在 %System% 资料夹建立以下的档案：

adcmmmmq.hjg
langeinf.lin
nonrunso.ber
seppelmx.smx
xcvfpokd.tqa

然后，它会建立以下的登录索引值令到系统每次启动时自动执行：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
WinStart = "%Windows%\Connection Wizard\Status\services.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
WinStart = "%Windows%\Connection Wizard\Status\services.exe"

破坏力

将自己以电邮附件方式传送到从受感染电脑上搜集回来的电邮地址。
蠕虫在传送前会先扫描特定的延伸档案来收集硬碟上的电邮地址。以下延伸类型的档案会被扫瞄：
pmr
stm
slk
inbox
imb
csv
bak
imh
xhtml
imm
imh
cms
nws
vcf
ctl
dhtm
cgi
pp
ppt
msg
jsp
oft
vbs
uin
ldb
abc
pst
cfg
mdw
mbx
mdx
mda
adp
nab
fdb
vap
dsp
ade
sln
dsw
mde
frm
bas
adr
cls
ini
ldif
log
mdb
xml
wsh
tbb
abx
abd
adb
pl
rtf
mmf
doc
ods
nch
xls
nsf
txt
wab
eml
hlp
mht
nfo
php
asp
shtml
dbx

蠕虫会忽略电邮地址包含以下的字串：
-dav
.dial.
.kundenserver.
.ppp.
.qmail@
.sul.t-
@arin
@avp
@ca.
@example.
@foo.
@from.
@gmetref
@iana
@ikarus.
@kaspers
@messagelab
@nai.
@panda
@smtp.
@sophos
@www
abuse
announce
antivir
anyone
anywhere
bellcore.
bitdefender
clock
detection
domain.
emsisoft
ewido.
free-av
freeav
ftp.
gold-certs
google
host.
icrosoft.
ipt.aol
law2
linux
mailer-daemon
mozilla
mustermann@
nlpmail01.
noreply
nothing
ntp-
ntp.
ntp@
office
password
postmas
reciver@
secure
service
smtp-
somebody
someone
spybot
sql.
subscribe
support
t-dialin
t-ipconnect
test@
time
user@
variabel
verizon.
viren
virus
whatever@
whoever@
winrar
winzip
you@
yourname

如果蠕虫传送电邮到网域的尾部是 '.at', '.ch', '.de', '.gmx.de', '.gmx.at', '.gmx.net', '.gmx.ch' 或 '.li'，它会编写成德文信息，否则会编写成英文信息。
它会尝试连接不同的时间伺服器 (TCP 37)：
cuckoo.neveda.edu
ntp.lth.se
ntp.massayonet.com.br
ntp.pads.ufrj.br
ntp1.arnes.si
ntp-1.ece.cmu.edu
ntp-2.ece.cmu.edu
rolex.peachnet.edu
rolex.usg.edu
sundial.columbia.edu
tim.kfki.hu
time.nist.gov
time.windows.com
time.xmission.com
time-a.timefreq.bldrdoc.gov
time-ext.missouri.edu
time-ext.missouri.edu
timelord.ureqina.ca
time-server.ndo.com
utcnist.colorado.edu
它可能会在受感染的电脑上，删除附合以下名称的档案：
a*.exe
luc*.exe
ls*.exe
luu*.exe
解决方案

1. 侦测及清除蠕虫

更新病毒防护软件的病毒清单，并用病毒防护软件去侦测和清除此病毒。

如果你没有安装任何电脑病毒防护软件，你可以下载以下任何一个清除病毒的工具程式进行清除。

Mcafee
http://download.nai.com/product...t/stinger.exe

Symantec
http://securityresponse.symantec.com/avcente...r.removal.tool.html

注意：请根据防毒软件公司的指引来清除病毒和修复系统。