W32.Sober.O@mm是一種蠕蟲病毒,會影響電腦的系統穩定,還會給電腦的Outlook Express中儲存的電子郵件地址自動傳送郵件。電腦的系統會因為這種病毒變慢。
基本介紹
- 外文名:W32.Sober.O@mm
- 發現: 2005 年 5 月 2 日
- 更新 :2007年 2 月 13 日 12:37:54 PM
- 別名:CME-456, Win32.Sober.等
- 類型: Worm
- 感染長度: :53,728 bytes (zip)53,554 bytes(exe)
基本信息,防護,廣度,損壞,分發,執行 W32.Sober.O@mm,顯示包含以下文字的訊息,創建以下檔案,將值,檢查網路連線,電子郵件地址,特徵,如果存在以下檔案,請將其刪除,覆蓋,建議,指導方法,1. 禁用系統還原 (Windows Me/XP),2. 重新安裝最新版的 LiveUpdate,3. 更新病毒定義,4. 掃描並刪除受感染的檔案,5. 從註冊表中刪除值,
基本信息
發現: 2005 年 5 月 2 日
更新: 2007 年 2 月 13 日 12:37:54 PM
別名: CME-456, Win32.Sober.N [Computer Associ, Sober.P [F-Secure], Email-Worm.Win32.Sober.p [Kasp, W32/Sober.p@MM [McAfee], W32/Sober-N [Sophos], WORM_SOBER.S [Trend Micro]
類型: Worm
感染長度: 53,728 bytes (zip);53,554 bytes (exe)
受感染的系統: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
W32.Sober.O@mm 是一種群發郵件蠕蟲,它將自身作為電子郵件附屬檔案傳送至從受到威脅的計算機處收集的地址。 它使用自己的 SMTP 引擎進行傳播。 該電子郵件可能使用英語或德語。
防護
* 病毒定義(每周 LiveUpdate™) 2005 年 5 月 2 日
* 病毒定義(智慧型更新程式) 2005 年 5 月 2 日
威脅評估
廣度
* 廣度級別: Low
* 感染數量: More than 1000
* 站點數量: More than 10
* 地理位置分布: Low
* 威脅抑制: Easy
* 清除: Moderate
損壞
* 損壞級別: Medium
* 有效負載: Sends itself as an email attachment to addresses gathered from the compromised computer.
* 大規模傳送電子郵件: The email may be in either English or German.
* 修改檔案: Overwrites luall.exe if present.
分發
* 分發級別: High
* 電子郵件的主題: Varies in English or German
* 附屬檔案名稱: Varies with .zip file extension.
* 連線埠: Port 37
執行 W32.Sober.O@mm
執行 W32.Sober.O@mm時,此蠕蟲會執行以下操作:
顯示包含以下文字的訊息
標題: WinZip Self-Extractor
正文: Error: CRC not complete
創建以下檔案
* %Windir%\Connection Wizard\Status\csrss.exe
* %Windir%\Connection Wizard\Status\packed1.sbr
* %Windir%\Connection Wizard\Status\packed2.sbr
* %Windir%\Connection Wizard\Status\packed3.sbr
* %Windir%\Connection Wizard\Status\services.exe
* %Windir%\Connection Wizard\Status\smss.exe
* %Windir%\Connection Wizard\Status\sacri1.ggg
* %Windir%\Connection Wizard\Status\sacri2.ggg
* %Windir%\Connection Wizard\Status\sacri3.ggg
* %Windir%\Connection Wizard\Status\voner1.von
* %Windir%\Connection Wizard\Status\voner2.von
* %Windir%\Connection Wizard\Status\voner3.von
* %Windir%\Connection Wizard\Status\sysonce.tst
* %Windir%\Connection Wizard\Status\fastso.ber
* %System%\adcmmmmq.hjg
* %System%\langeinf.lin
* %System%\nonrunso.ber
* %System%\seppelmx.smx
* %System%\xcvfpokd.tqa
註:
* %Windir% 是一個變數,它表示 Windows 安裝資料夾。 默認情況下,該資料夾為 C:\Windows (Windows 95/98/Me/XP) 或 C:\Winnt (Windows NT/2000)。
* %System% 是一個變數,它表示 System 資料夾。默認情況下,該資料夾為 C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000) 或 C:\Windows\System32 (Windows XP)。
* 檔案 sacri1.ggg、sacri2.ggg、sacri3.ggg、voner1.von、voner2.von、voner3.von、 sysonce.tst、fastso.ber、adcmmmmq.hjg、langeinf.lin、nonrunso.ber、 seppelmx.smx、xcvfpokd.tqa 不是惡意代碼檔案。
將值
" WinStart" = "%Windir%\Connection Wizard\Status\services.exe"
添加至以下註冊表子鍵:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
這樣,W32.Sober.O@mm 會在每次 Windows 啟動時運行。
檢查網路連線
方法是與 NTP 伺服器的 37 連線埠聯繫,或連線到以下域之一:
* microsoft.com
* bigfoot.com
* yahoo.com
* t-online.de
* google.com
* hotmail.com
電子郵件地址
從具有以下擴展名的檔案中收集電子郵件地址:
* .abc
* .abd
* .abx
* .adb
* .ade
* .adp
* .adr
* .asp
* .bak
* .bas
* .cfg
* .cgi
* .cls
* .cms
* .csv
* .ctl
* .dbx
* .dhtm
* .doc
* .dsp
* .dsw
* .eml
* .fdb
* .frm
* .hlp
* .imb
* .imh
* .imh
* .imm
* .inbox
* .ini
* .jsp
* .ldb
* .ldif
* .log
* .mbx
* .mda
* .mdb
* .mde
* .mdw
* .mdx
* .mht
* .mmf
* .msg
* .nab
* .nch
* .nfo
* .nsf
* .nws
* .ods
* .oft
* .php
* .phtm
* .pl
* .pmr
* .pp
* .ppt
* .pst
* .rtf
* .shtml
* .slk
* .sln
* .stm
* .tbb
* .txt
* .uin
* .vap
* .vbs
* .vcf
* .wab
* .wsh
* .xhtml
* .xls
* .xml
該蠕蟲會避免將自身傳送至包含以下字元串的地址:
* -dav
* .dial.
* .kundenserver.
* .ppp.
* .qmail@
* .sul.t-
* @arin
* @avp
* @ca.
* @example.
* @foo.
* @from.
* @gmetref
* @iana
* @ikarus.
* @kaspers
* @messagelab
* @nai.
* @panda
* @smtp.
* @sophos
* @www
* abuse
* announce
* antivir
* anyone
* anywhere
* bellcore.
* bitdefender
* clock
* detection
* domain.
* emsisoft
* ewido.
* free-av
* freeav
* ftp.
* gold-certs
* google
* host.
* icrosoft.
* ipt.aol
* law2
* linux
* mailer-daemon
* mozilla
* mustermann@
* nlpmail01.
* noreply
* nothing
* ntp-
* ntp.
* ntp@
* office
* password
* postmas
* reciver@
* secure
* service
* smtp-
* somebody
* someone
* spybot
* sql.
* subscribe
* support
* t-dialin
* t-ipconnect
* test@
* time
* user@
* variabel
* verizon.
* viren
* virus
* whatever@
* whoever@
* winrar
* winzip
* you@
* yourname
特徵
試圖將其自身的副本傳送至收集到的電子郵件地址。 該電子郵件可能使用英語或德語,並具有以下特徵:
德語:
主題:
以下項之一:
* Ihr Passwort
* Mail-Fehler!
* Ihre E-Mail wurde verweigert
* Ich bin's, was zum lachen ;)
* Glueckwunsch: Ihr WM Ticket
* WM Ticket Verlosung
* WM-Ticket-Auslosung
訊息:
以下項之一:
* Passwort und Benutzer-Informationen befinden sich in der beigefuegten Anlage.
http:/ /www.[random domain]
*-* MailTo: PasswordHelp
* Diese E-Mail wurde automatisch erzeugt
Mehr Information finden Sie unter http:/ /www.[random domain]
Folgende Fehler sind aufgetreten:
Fehler konnte nicht Explicit ermittelt werden
Aus Datenschutzrechtlichen Gruenden, muss die vollstaendige E-Mail incl. Daten gezippt & angehaengt werden.
Wir bitten Sie, dieses zu beruecksichtigen.
Auto ReMailer#
* Nun sieh dir das mal an
Was ein Ferkel ....
* Herzlichen Glueckwunsch,
beim Run auf die begehrten Tickets fr die 64 Spiele der Weltmeisterschaft 2006 in Deutschland sind Sie
dabei.Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.
St. Rainer Gellhaus
--- Pressesprecher Jens Grittner und Gerd Graus
--- FIFA Fussball-Weltmeisterschaft 2006
--- Organisationskomitee Deutschland
隨機將以下項之一附加至訊息末尾處:
* Mail-Scanner: Es wurde kein Virus festgestellt
* AntiVirus: Kein Virus gefunden
* AntiVirus-System: Kein Virus erkannt
* WebSite: http:/ /www.[random domain]
附屬檔案:
以下項之一:
* LOL.zip
* autoemail-text.zip
* _PassWort-Info.zip
* Fifa_Info-Text.zip
* okTicket-info.zip
注意: 附屬檔案將是一個 ZIP 檔案,其中包含蠕蟲副本。 ZIP 檔案中的檔案名稱將是 Winzipped-Text_Data.txt[many spaces].pif 或 Winzipped-Text_Data.txt[many spaces].exe。
英語:
主題:
以下項之一:
* Re:Your Password
* Re:Registration Confirmation
* Re:Your email was blocked
* Re:mailing error
* Re: [blank]
訊息:
以下項之一:
* ok ok ok,,,,, here is it
* Account and Password Information are attached!
Visit: http:/ /www.[random domain]
* This is an automatically generated E-Mail Delivery Status Notification.
Mail-Header, Mail-Body and Error Description are attached
隨機將以下項之一附加至訊息末尾處:
* Attachment-Scanner: Status OK
* AntiVirus: No Virus found
* Server-AntiVirus: No Virus (Clean)
* http:/ / www.[random domain]
附屬檔案:
以下項之一:
* our_secret.zip
* mail_info.zip
* error-mail_info.zip
* account_info.zip
* account_info-text.zip
注意: 附屬檔案將是一個 ZIP 檔案,其中包含蠕蟲副本。 ZIP 檔案中的檔案名稱將是 Winzipped-Text_Data.txt[many spaces].pif 或 Winzipped-Text_Data.txt[many spaces].exe。
如果存在以下檔案,請將其刪除
* %ProgramFiles%\Symantec\Liveupdate\a*.exe
* %ProgramFiles%\Symantec\Liveupdate\luc*.exe
* %ProgramFiles%\Symantec\Liveupdate\ls*.exe
* %ProgramFiles%\Symantec\Liveupdate\luu*.exe
註: %ProgramFiles% 是一個變數,它表示 Program Files 資料夾。 默認情況下,該資料夾為 C:\Program Files。
覆蓋
如果檔案 %Program Files%\Symantec\Liveupdate\luall.exe 存在,將使用其自身的副本將該檔案覆蓋。
建議
* 禁用並刪除不需要的服務。 默認情況下,許多作業系統會安裝不必要的輔助服務,如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除,混合型威脅的攻擊途徑會大為減少,同時您的維護工作也會減少,只通過補丁程式更新即可完成。
* 如果混合型威脅攻擊了一個或多個網路服務,則在套用補丁程式之前,請禁用或禁止訪問這些服務。
* 始終安裝最新的補丁程式,尤其是那些提供公共服務而且可以通過防火牆訪問的計算機,如 HTTP、FTP、郵件和 DNS 服務(例如,所有基於 Windows 的計算機上都應該安裝最新的 Service Pack)。. 另外,對於本文中、可靠的安全公告或供應商網站上公布的安全更新,也要及時套用。
* 強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。
* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件,這些檔案常用於傳播病毒。
* 迅速隔離受感染的計算機,防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。
指導方法
1. 禁用系統還原 (Windows Me/XP)
如果正在運行 Windows Me 或 Windows XP,建議您暫時關閉系統還原功能。默認情況下啟用此功能,一旦計算機中的檔案被破壞,Windows Me/XP 可使用此功能將其還原。如果病毒、蠕蟲或特洛伊木馬感染了計算機,則系統還原功能會在此計算機上備份病毒、蠕蟲或特洛伊木馬。
Windows 禁止包括防病毒程式在內的外部程式修改系統還原功能。因此,防病毒程式或工具無法清除 System Restore 資料夾中的威脅。這樣,系統還原就可能將受感染檔案還原到計算機上,即使您已經清除了所有其他位置的受感染檔案。
此外,病毒掃描也可能在 System Restore 資料夾中檢測到威脅,即使您已清除此威脅。
有關如何關閉系統還原功能的指導,請參閱 Windows 文檔或下列文章之一:
* "如何禁用或啟用 Windows Me 系統還原
* "如何關閉或打開 Windows XP 系統還原”
注意: 當您完全完成防毒步驟並確定威脅已清除後,請按照上述文檔中的指導重新啟用系統還原。
有關其他信息以及禁用 Windows Me 系統還原功能的其他方法,請參閱 Microsoft 知識庫文章:Antivirus Tools Cannot Clean Infected Files in the _Restore Folder(文章 ID:Q263455)。
2. 重新安裝最新版的 LiveUpdate
1. 單擊“下載 LiveUpdate”。
2. 將檔案保存到 Windows 桌面上。
3. 在桌面上雙擊 lusetup.exe 圖示安裝 LiveUpdate。
4. 運行 LiveUpdate。
5. 是否出現訊息“LU1860:LiveUpdate 已檢測到您的計算機上存在潛在的安全威脅”?
o 如果出現該訊息, 請允許 LiveUpdate“將這些項從主機檔案中刪除”(推薦)。
這應當能允許 LiveUpdate 運行。
o 如果沒有出現該訊息,則未找到該問題的原因。 返回到“防毒”部分。
3. 更新病毒定義
* 運行 LiveUpdate,這是獲得病毒定義的最簡單方法:如果未出現重大的病毒爆發情況,這些病毒定義會在 LiveUpdate 伺服器上每周發布一次(一般為星期三)。要確定是否可通過 LiveUpdate 獲得用於此威脅的定義,請參閱文檔:病毒定義 (LiveUpdate)。
* 使用智慧型更新程式下載定義:智慧型更新程式病毒定義每天發布一次。您應當從 Symantec 安全回響中心網站下載定義並手動安裝它們。要確定是否可通過智慧型更新程式獲得用於此威脅的定義,請參閱文檔:病毒定義(智慧型更新程式)。
可由此處獲得最新的智慧型更新程式病毒定義:智慧型更新程式病毒定義。有關詳細指導,請參閱文檔: 如何使用智慧型更新程式更新病毒定義檔案。
4. 掃描並刪除受感染的檔案
1. 啟動 防毒軟體,並確保將其配置為掃描所有檔案。
2. 運行完整的系統掃描。
3. 如果檢測到任何檔案感染了 W32.Sober.O@mm,請單擊“刪除”。
注意:如果您的 防毒軟體產品報告無法刪除受感染的檔案,Windows 可能正在使用該檔案。要解決該問題,請在安全模式下運行掃描。有關指導,請參閱文檔:如何以安全模式啟動計算機。 以安全模式重新啟動後,再次運行掃描。
刪除檔案之後,請以正常模式重新啟動計算機,然後繼續進行第 4 部分。
計算機重新啟動時可能會顯示警告訊息,因為此時尚未完全清除威脅。請忽略這些訊息,並單擊“確定”。徹底完成清除操作之後,再重新啟動計算機時不會出現這些訊息。所顯示的訊息可能與此相似:
標題: [檔案路徑]
訊息正文: Windows 找不到 [檔案名稱]。請確保鍵入了正確的名稱,然後重試。要搜尋檔案,請單擊“開始”按鈕,然後單擊“搜尋”。
5. 從註冊表中刪除值
重要信息:在進行任何更改之前先備份註冊表。錯誤地更改註冊表可能導致數據永久丟失或檔案損壞。應只修改指定的子鍵。有關指導,請參閱文檔:「如何備份 Windows 註冊表」
1. 單擊“開始”>“運行”。
2. 鍵入 regedit
3. 單擊“確定”。
4. 導航至以下子鍵:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
5. 在右窗格中,刪除以下值:
" WinStart" = "%Windir%\Connection Wizard\Status\services.exe"
6. 導航至以下子鍵:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
7. 在右窗格中,刪除以下值:
"_WinStart" = "%Windir%\Connection Wizard\Status\services.exe"
8. 退出註冊表編輯器。
