W32.Sober.D@mm

別名： Win32.Sober.D [Computer Associ, W32/Sober.d@MM [McAfee], WORM_SOBER.D [Trend], W32/Roca-A [Sophos], I-Worm.Sober.d [Kaspersky]

感染長度： 33,792 bytes

受感染的系統： Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

W32.Sober.D@mm 是 W32.Sober.C@mm 的變種，它通過使用自己的 SMTP 引擎將自身作為電子郵件附屬檔案傳送進行傳播。

電子郵件的“主題：”和“正文：”各種各樣，以英文或德文編寫。

注意：

* 快速發布定義 2004.03.07 rev.22 版或更新版本可檢測該威脅。

* 該蠕蟲具有 MD5 無效值 0xF258A945EACE78DF510CA7BDAA0EC8FB。

賽門鐵克安全回響中心開發了一種防毒工具，可用來清除 W32.Sober.D@mm 感染。這是消除此威脅的最簡便方法。

W32.Sober.D@mm 使用 Microsoft Visual Basic 編寫，使用 UPX 壓縮。

* 病毒定義（每周 LiveUpdate™） 2004 年 3 月 8 日

* 病毒定義（智慧型更新程式） 2004 年 3 月 8 日

* 廣度級別： Medium

* 感染數量： 50 - 999

* 站點數量： More than 10

* 地理位置分布： Low

* 威脅抑制： Easy

* 清除： Moderate

* 損壞級別： Medium

* 修改檔案： Modifies the system registry.

* 分發級別： High

* 電子郵件的主題： Varies

* 附屬檔案名稱： Varies with .exe or .zip file extension

* 附屬檔案大小： 33,792 bytes

W32.Sober.D@mm 運行時會執行下列操作：

1. 將自身複製為 %System%\smss32win.exe。

注意：%System% 是一個變數。蠕蟲會找到 System 資料夾，並將自身複製到其中。默認情況下，此資料夾為 C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000) 或 C:\Windows\System32 (Windows XP)。

2. 刪除下列檔案：

* %System%\temp32x.data（W32.Sober.D@mm 的 MIME 編碼正文）

* %System%\wintmpx33.dat (W32.Sober.D@mm 的 MIME 編碼正文，以 .zip 檔案格式打包)

* %System%\Humgly.lkur（臨時檔案）

* %System%\yfjq.yqwm（臨時檔案）

* %System%\zmndpgwf.kxx（臨時檔案）

3. 創建註冊表鍵：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\datasmss32

4. 將值：

"<隨機值>" = "%System%\smss32win.exe %1"

添加到以下註冊表鍵：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

以便該蠕蟲在啟動 Windows 時啟動。

<隨機值> 是該蠕蟲使用以下字元串創建的字元串：

5. 顯示下列訊息：

* 該補丁程式已成功安裝。

* 該系統不需要安裝該補丁程式。

* Microsoft Windows

STOP: 0x80070725

System File [filename].exe

連線丟失或被防火牆禁止

例如，可能顯示下列訊息：

6. 列舉計算機上所有固定驅動器，並掃描具有以下擴展名的檔案以查找電子郵件地址：

* .abd

* .adb

* .asp

* .dbx

* .doc

* .eml

* .ini

* .log

* .mdb

* .php

* .pl

* .rtf

* .shtml

* .tbb

* .ttt

* .txt

* .wab

* .xls

7. 通過電子郵件將自身傳送到在上述步驟收集的電子郵件地址。

所編寫的電子郵件訊息具有下列特徵：

發件人： <隨機發件人

偽裝的發件人電子郵件地址中的 <隨機發件人> 是隨機從以下列表選取的：

* Info

* Center

* UpDate

* News

* Help

* Studio

* Alert

* Patch

* Security

主題：（下列之一）

* Microsoft Alert: Please Read! Message-ID: <[random characters].qmail@>

* Microsoft Alarm: Bitte Lesen! Message-ID: <[random characters].qmail@>

正文：（下列之一）

變種 #1（英文）：

New MyDoom Virus Variant Detected!

A new variant of the W32.Mydoom (W32.Novarg) worm spread rapidly through the Internet.

Anti-virus vendor Central Command claims that 1 in 45 e-mails contains the MyDoom virus.

The worm also has a backdoor Trojan capability.

By default, the Trojan component listens on port 13468.

Protection:

Please download this digitally signed attachment.

This Update includes the functionality of previously released patches.

+++ &copy;2004 Microsoft Corporation. All rights reserved.

+++ One Microsoft Way, Redmond, Washington 98052

+++ Restricted Rights at 48 CFR 52.227-19

變種 #2（德文變種）：

Neue Virus-Variante W32.Mydoom verbreitet sich schnell.

Eine neue Mydoom-Variante verbreitet sich derzeit rasend schnell im Internet.

Wie seine Vorg&auml;nger verschickt sich der Wurm von infizierten Windows-Rechnern per E-Mail an weitere Adressen.

Zudem installiert er auf infizierten Systemen einen gef&auml;hrlichen Trojaner!

Führende Virenspezialisten melden bereis ein vermehrtes Aufkommen des W32.Mydoom alias W32.Novarg.

Bitte daten Sie Ihr System mit dem Patch ab, um sich vor diesem Sch&auml;dling zu schützen!

+++ &copy;2004 Microsoft Corporation. Alle Rechte vorbehalten.

+++ Microsoft Deutschland GmbH, Konrad-Zuse-Strasse

+++ 85716 Unterschleissheim, HRB 70438, DE 129 415 943

附屬檔案：<隨機名稱><隨機數位><隨機擴展名>

其中，<隨機名稱> 是隨機從以下列表選擇的：

* Patch

* MS-Security

* MS-UD

* UpDate

* sys-patch

* MS-Q

而 <隨機擴展名> 是 .zip 或 .exe 擴展名。

8. 該蠕蟲跳過包含子字元串的電子郵件地址，它們作為硬代碼嵌入該蠕蟲的內部。

* @arin

* @avp

* @foo.

* @iana

* @ikarus.

* @kaspers

* @messagelab

* @msn.

* @nai.

* @ntp.

* @panda

* @sophos

* abuse

* admin

* antivir

* bitdefender

* clock

* detection

* domain.

* emsisoft

* ewido.

* free-av

* google

* host.

* hotmail

* info@

* linux

* microsoft.

* mozilla

* ntp-

* ntp@

* office

* password

* postmas

* redaktion

* service

* spybot

* support

* symant

* t-online

* time

* variabel

* verizon.

* viren

* virus

* winrar

* winzip

賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”：

* 禁用並刪除不需要的服務。 默認情況下，許多作業系統會安裝不必要的輔助服務，如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除，混合型威脅的攻擊途徑會大為減少，同時您的維護工作也會減少，只通過補丁程式更新即可完成。

* 如果混合型威脅攻擊了一個或多個網路服務，則在套用補丁程式之前，請禁用或禁止訪問這些服務。

* 始終安裝最新的補丁程式，尤其是那些提供公共服務而且可以通過防火牆訪問的計算機，如 HTTP、FTP、郵件和 DNS 服務（例如，所有基於 Windows 的計算機上都應該安裝最新的 Service Pack）。. 另外，對於本文中、可靠的安全公告或供應商網站上公布的安全更新，也要及時套用。

* 強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。

* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件，這些檔案常用於傳播病毒。

* 迅速隔離受感染的計算機，防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。

* 教育員工不要打開意外收到的附屬檔案。 並且只在進行病毒掃描後才執行從網際網路下載的軟體。如果未對某些瀏覽器漏洞套用補丁程式，那么訪問受感染的網站也會造成病毒感染。

賽門鐵克安全回響中心開發了一種防毒工具，可用來清除 W32.Sober.D@mm 感染。這是消除此威脅的最簡便方法。

當然，您也可以按照以下指示自己手動防毒。

以下指導適用於所有當前和最新的賽門鐵克防病毒產品，包括 Symantec AntiVirus 和 Norton AntiVirus 系列產品。

1. 禁用系統還原 (Windows Me/XP)。

2. 更新病毒定義。

3. 將計算機重啟到安全模式或者 VGA 模式。

4. 運行完整的系統掃描，並刪除所有檢測為 W32.Sober.D@ mm 的檔案。

5. 刪除添加到註冊表的值。

有關每個步驟的詳細信息，請閱讀以下指導。

1. 禁用系統還原（Windows Me/XP）

如果您運行的是 Windows Me 或 Windows XP，建議您暫時關閉“系統還原”。此功能默認情況下是啟用的，一旦計算機中的檔案被破壞，Windows 可使用該功能將其還原。如果病毒、蠕蟲或特洛伊木馬感染了計算機，則系統還原功能會在該計算機上備份病毒、蠕蟲或特洛伊木馬。

Windows 禁止包括防病毒程式在內的外部程式修改系統還原。因此，防病毒程式或工具無法刪除 System Restore 資料夾中的威脅。這樣，系統還原就可能將受感染檔案還原到計算機上，即使您已經清除了所有其他位置的受感染檔案。

此外，病毒掃描可能還會檢測到 System Restore 資料夾中的威脅，即使您已將該威脅刪除。

有關如何關閉系統還原功能的指導，請參閱 Windows 文檔或下列文章之一：

* 如何禁用或啟用 Windows XP 系統還原

* 如何禁用或啟用 Windows Me 系統還原

注意：蠕蟲移除乾淨後，請按照上述文章所述恢復系統還原的設定。

有關詳細信息以及禁用 Windows Me 系統還原的其他方法，請參閱 Microsoft 知識庫文章：病毒防護工具無法清除 _Restore 資料夾中受感染的檔案，文章 ID：CH263455。

2. 更新病毒定義

賽門鐵克安全回響中心在我們的伺服器上發布任何病毒定義之前，會對其進行全面測試以保證質量。可以通過兩種方式獲得最新的病毒定義：

* 運行 LiveUpdate（這是獲取病毒定義的最簡便方法）：這些病毒定義被每周一次（通常在星期三）發布到 LiveUpdate 伺服器上，除非出現大規模的病毒爆發情況。要確定是否可通過 LiveUpdate 獲取此威脅的定義，請參考病毒定義 (LiveUpdate)。

* 使用智慧型更新程式下載病毒定義：智慧型更新程式病毒定義會在工作日（美國時間，星期一至星期五）發布。應該從賽門鐵克安全回響中心網站下載病毒定義並手動進行安裝。要確定是否可通過智慧型更新程式獲取此威脅的定義，請參考病毒定義（智慧型更新程式）。

現在提供智慧型更新程式病毒定義：有關詳細說明，請參閱如何使用智慧型更新程式更新病毒定義檔案。

3. 將計算機重啟到安全模式或者 VGA 模式

請關閉計算機，等待至少 30 秒鐘後重新啟動到安全模式或者 VGA 模式

* Windows 95/98/Me/2000/XP 用戶：將計算機重啟到安全模式。所有 Windows 32-bit 作業系統，除了Windows NT，可以被重啟到安全模式。更多信息請參閱文檔 如何以安全模式啟動計算機 。

* Windows NT 4 用戶：將計算機重啟到 VGA 模式。

4. 掃描和刪除受感染檔案

1. 啟動 Symantec 防病毒程式，並確保已將其配置為掃描所有檔案。

* Norton AntiVirus 單機版產品：請閱讀文檔：如何配置 Norton AntiVirus 以掃描所有檔案。

* 賽門鐵克企業版防病毒產品：請閱讀 如何確定 Symantec 企業版防病毒產品被設定為掃描所有檔案。

2. 運行完整的系統掃描。

3. 如果檢測到任何檔案被 W32.Sober.D@mm 感染，請單擊“刪除”。

5. 從註冊表中刪除值

注意：對系統註冊表進行任何修改之前，賽門鐵克強烈建議您最好先替註冊表進行一次備份。對註冊表的修改如果有任何差錯，嚴重時將會導致數據遺失或檔案受損。只修改指定的註冊表鍵。如需詳細指示，請閱讀「如何備份 Windows 註冊表」檔案。

1. 單擊“開始”，然後單擊“運行”。（將出現“運行”對話框。）

2. 鍵入 regedit

然後單擊“確定”。（將打開註冊表編輯器。）

3. 定位到下列鍵然後將其刪除：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\datasmss32

4. 導航至以下鍵：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

5. 在右窗格中，刪除值：

"<隨機值>" = "%System%\smss32win.exe %1"

6. 退出註冊表編輯器。

7. 以標準模式重新啟動計算機。有關指導，請參閱文檔：如何以安全模式啟動計算機中有關返回標準模式的部分。

描述者： Sergei Shevchenko