中国新闻社
中新网分类新闻查询>>

本页位置:首页>>新闻大观>>滚动新闻
放大字体  缩小字体

可造成网络瘫痪的“Sobig”恶性蠕虫病毒被截获

2003年01月14日 13:22

  中新网1月14日电 来自江民快速反病毒小组的最新消息,一种名为“好大”(I-Worm/Sobig)的网络蠕虫病毒,被率先成功截获。江民公司已在第一时间拿出了针对该病毒的解决方案,并及时升级更新了病毒库。该病毒可感染的有效系统为当前流行的所有windows操作平台,目前该病毒正通过邮件进行大规模发送传播。

  反病毒专家介绍,该病毒采用MSVC编写,长度是65536字节,能通过邮件和局域网来传播,病毒传播发送的邮件地址是通过读取指定的可能含有EMAIL地址的文件内容来获得的,可感染局域网里的所有机器,造成局域网瘫痪。此病毒的邮件发送地址为big@boss.com,病毒邮件的接收者的地址是从以下的文件中搜索到的:WAB、DBX、HTM、HTML、EML、TXT ,可以说覆盖了能存有EMAIL地址的所有文件。

  邮件的主题是四选一:

  Re: Movies (回复:电影)Re: Sample (回复:样本)Re: Document (回复:文档)Re: Here is that sample (回复:这里是一个样本)

  邮件的附件是pif扩展名称的,大小都是65536字节,附件的文件名称也是四选一:Movie_0074.mpeg Document003 Untitled1 Sample

  该网络蠕虫可以搜索所有的局域网的共享目录,并将自身拷贝到共享目录的如下目录,使得当共享的机器重新启动时自动感染。拷贝的共享机器的目录为:\%WINDOWS%\ALL USERS\STARTMENU\PROGRAMS\STARTUP,XP等系统下是:\DOCUMENTS AND SETTINGS\ALL USERS\START MENU\PROGRAMS\STARTUP。

  电脑在感染上此病毒后,在WINDOWS的目录下存在大小为65536字节的可执行文件WINMGM32.EXE以及两个DAT文件sntmls.dat,dwn.dat.两个dat文件记录了该病毒传播感染的一些信息。当该网络蠕虫病毒被执行后,在WINDOWS的目录下以文件winmgm32.exe的文件存在,同时修改系统的注册表项,使得系统每次启动时,该网络蠕虫都被自动运行。修改的系统注册表包括:KEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run增加的键值是:"WindowsMGM",数值是:%WINDOWS%winmgm32.exe

  江民提醒用户,KV江民杀毒王2003已经全面上市,请KV系列的老用户及时升级到KV江民杀毒王2003。对于该病毒只需及时升级更新KV江民杀毒王2003病毒库,将六套实时监控系统中的“邮件监视、文件监视和注册表监视”三套防范系统,就可阻止该病毒的入侵,同时KV江民杀毒王2003的内存监视功能,可以从内存中清除该网络蠕虫。


 
编辑:刘研

本网站所刊载信息,不代表中新社观点。 刊用本网站稿件,务经书面授权。