“好大”病毒威力乍现 传播势头直指“求职信”
https://news.hlgnet.com 2003-01-15
回龙观资讯中心
http://www.sina.com.cn 2003年01月14日 18:39 新浪科技
新浪科技讯 来自反病毒企业北京江民的最新消息,截止1月14日晚18:30分,江民公司已接到全国各地近千例因感染“好大”(I-Worm/Sobig)蠕虫病毒用户的反馈。“好大”蠕虫病毒传播已近疯狂状态,势头直指“求职信”变种。该病毒的发送邮件地址为big@boss.com,可感染的有效系统为当前流行的所有windows操作平台。针对该病毒江民公司已在第一时间拿出了解决方案,并及时升级了病毒库。针对此病毒至今为止江民已是第三次拉响病毒警钟。江民反病毒专家预测,“好大”(I-Worm/Sobig)蠕虫病毒很有可能成为2003年国内首
例大规模爆发的网络蠕虫病毒。
“好大”蠕虫病毒采用MSVC编写,长度是65536字节,能通过邮件和局域网来传播,病毒传播发送的邮件地址是通过读取指定的可能含有EMAIL地址的文件内容来获得的,可感染局域网里的所有机器,造成局域网瘫痪。此病毒的邮件发送地址为big@boss.com,病毒邮件的接收者的地址是从以下的文件中搜索到的:WAB、DBX、HTM、HTML、EML、TXT,可以说覆盖了能存有EMAIL地址的所有文件。
邮件的主题是四选一:
Re: Movies (回复:电影)
Re: Sample (回复:样本)
Re: Document (回复:文档)
Re: Here is that sample (回复:这里是一个样本)
邮件的附件是pif扩展名称的,大小都是65536字节,附件的文件名称也是四选一:Movie_0074.mpeg、Document003、Untitled1、Sample
该网络蠕虫可以搜索所有的局域网的共享目录,并将自身拷贝到共享目录的如下目录,使得当共享的机器重新启动时自动感染。拷贝的共享机器的目录为:%WINDOWS%ALL USERSSTART MENUPROGRAMSSTARTUP,XP等系统下是:DOCUMENTS AND SETTINGSALL USERSSTART MENUPROGRAMSSTARTUP .
电脑在感染上此病毒后,在WINDOWS的目录下存在大小为65536字节的可执行文件WINMGM32.EXE以及两个DAT文件sntmls.dat,dwn.dat.两个dat文件记录了该病毒传播感染的一些信息。当该网络蠕虫病毒被执行后,在WINDOWS的目录下以文件winmgm32.exe的文件存在,同时修改系统的注册表项,使得系统每次启动时,该网络蠕虫都被自动运行。修改的系统注册表包括:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun增加的键值是:"WindowsMGM",数值是:%WINDOWS%winmgm32.exe
江民提醒用户,KV江民杀毒王2003已经全面上市,请KV系列的老用户及时升级到KV江民杀毒王2003。对于该病毒只需及时升级更新KV江民杀毒王2003病毒库,将六套实时监控系统中的“邮件监视、文件监视和注册表监视”三套防范系统,就可阻止该病毒的入侵,同时KV江民杀毒王2003的内存监视功能,可以从内存中清除该网络蠕虫。
已感染此病毒的用户具体清除方法如下:
1、安装最新版本的KV江民杀毒王2003,先扫描系统内存,然后清除文件、内存以及网络邻居中的该病毒。
2、直接删除注册表的相应修改。
最新版本的KV江民杀毒王2003新增了六套病毒实时监控系统、自动定时升级、自定义查杀病毒方案、自动查杀病毒、屏幕保护查杀病毒等强大功能,该新品可全面确保用户免遭此病毒的侵扰。
KV3000杀毒王的用户可以直接到江民网站www.jiangmin.com下载升级包来自动升级到KV江民杀毒王2003,对于在KV3000杀毒王前的KV系列用户(KV300、KV300+、KV3000、KV3000多功能国际版)请及时更换到KV江民杀毒王2003,更新办法请与当地经销商联系。
