电脑病毒警告！！赛门铁克安全响应中心发出安全警报

  
　　W32.Sober.X@mm 是一种群发邮件蠕虫，它会在受感染电脑的硬盘中搜索电子邮件地址，然后用自己的SMTP引擎向这些电子邮件地址发送有毒邮件。传播这蠕虫的邮件以英文和德文书写，有多种不同的标题和内容及会以虚假的发信人地址送出。电子邮件中有一个.ZIP的附件，而这个附件包含一个可执行文件。在感染电脑时，该蠕虫会显示一段“Error in packed Header”的虚假错误讯息。此外，该蠕虫亦会尝试令好些程序失效。　　由于被感染计算机数量的增加，赛门铁克安全响应中心已经将W32.Sober.X@mm升级为3级威胁（在1至5的等级中，5级为最严重）。赛门铁克安全响应中心专家已经证实，原来的受到以前Sober变种攻击的电脑被W32.Sober.X@mm利用，作为新的攻击平台，这也解释了为什么提交数目的爆增。  　　原有Sober变种在被下载后，于11月21日格林威治标准时间晚7点整（北京时间22日凌晨3点）开始大规模同时发送W32.Sober.X@mm。据观测，原有变种通过网络时间协议（NTP）统一了发动进攻的时间。攻击规模最初持续在较低的水平，但是由于这些变种不断地主动把自体发往其他计算机，因此攻击保持了很好的持续性。 　　赛门铁克安全响应中心高级经理Kevin Hogan说：“这个威胁的影响并不像我们以前所见过的那些大规模的蠕虫所表现出来的。但是我们仍需保持警惕，并且遵循最佳实践，比如不能随意打开每一封邮件的附件。此威胁使用了经典的社会工程学（Social Engineering）技巧去让用户相信他们所收到的电子邮件是有效的。举个例子来说，假冒来自FBI的邮件就使用了虚假的权势和人们对其的敬畏。所以我们再次提醒用户必须谨慎的对待所有预期以外的附件。” 　　W32.Sober.X@mm是一个用它自己的SMTP引擎传播的大规模邮件蠕虫。蠕虫将自己作为电子邮件的附件发向那些受到安全危胁的电脑。赛门铁克安全响应中心在11月19日第一次发现此威胁，并在同一天内向用户提供了病毒定义程序。 　　此威胁通过英语和德语的文件进行传播。目前，赛门铁克已经收到超过2800个提交的威胁报告。 　　潜在的受害者可能会收到数种不同的电子邮件，其中包括那些假装成为来自FBI和CIA的信件，或者是试图引诱用户浏览好莱坞影星Paris Hilton照片的电子邮件。赛门铁克安全专家将持续分析这个威胁　　另外，赛门铁克安全响应中心已经将ThreatCon威胁指数升机到2级（最高级别为4级），这是因为持续增加的与W32.Sober.X@mm相关的活动以及与目前刚发布的针对Microsoft IE漏洞的利用程序。赛门铁克ThreatCon威胁指数为互连网威胁状况提供了全方位的“天气预告”式预测。 可使用光华反病毒软件，彻底删除。以下为病毒资料：该病毒长度 55,390 字节，感染 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系统，它使用自带的 SMTP 引擎传播，将病毒本身作为附件，发送到从被感染计算机中收集到的邮件地址，邮件具有英文、德语两种语言，当收到、打开此病毒时，有以下危害：       A 显示信息提示    标题: WinZip Self-Extractor    内容: Error: CRC not complete    B 复制自身到WINDOWS目录的csrss.exe 、WinSecurity\services.exe 、WinSecurity\smss.exe    C 创建文件WinSecurity\socket1.ifo到WINDOWS目录，这是个使用 MIME 编码，具有.zip扩展名的文件，内容是病毒自身    D 创建以下文件到WINDOWS目录    WinSecurity\mssock1.dli    WinSecurity\mssock2.dli    WinSecurity\mssock3.dli    WinSecurity\winmem1.ory    WinSecurity\winmem2.ory    WinSecurity\winmem3.ory    WinSecurity\sysonce.tst    WinSecurity\starter.run    WinSecurity\nexttroj.tro    E 创建以下文件到系统目录    bbvmwxxf.hml    langeinf.lin    nonrunso.ber    rubezahl.rub    F 增加注册表项"_Windows" = "％Windir％\WinSecurity\services.exe"到注册表的    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run    使得病毒每次开机后自动执行    G 检查网络连接,从以下NTP服务器中获取日期    Rolex.PeachNet.edu    clock.psu.edu    cuckoo.nevada.edu    gandalf.theunixman.com    nist1.datum.com    ntp-1.ece.cmu.edu    ntp-2.ece.cmu.edu    ntp-sop.inria.fr    ntp.lth.se    ntp.massayonet.com.br    ntp.metas.ch    ntp.pads.ufrj.br    ntp0.cornell.edu    ntp1.arnes.si    ntp1.theremailer.net    ntp2.ien.it    ntp2b.mcc.ac.uk    ntp2c.mcc.ac.uk    ntp3.fau.de    ntps1-1.uni-erlangen.de    ptbtime2.ptb.de    rolex.usg.edu    st.ntp.carnet.hr    sundial.columbia.edu    swisstime.ethz.ch    tick.greyware.com    time-a.timefreq.bldrdoc.gov    time-ext.missouri.edu    time.chu.nrc.ca    time.ien.it    time.kfki.hu    time.mit.edu    time.nist.gov    time.nrc.ca    time.windows.com    time.xmission.com    timelord.uregina.ca    tock.keso.fi    utcnist.colorado.edu    vega.cbk.poznan.pl       H 从以下扩展名的文件中收集邮件地址    .abc    .abd    .abx    .adb    .ade    .adp    .adr    .asp    .bak    .bas    .cfg    .cgi    .cls    .cms    .csv    .ctl    .dbx    .dhtm    .doc    .dsp    .dsw    .eml    .fdb    .frm    .hlp    .imb    .imh    .imh    .imm    .inbox    .ini    .jsp    .ldb    .ldif    .log    .mbx    .mda    .mdb    .mde    .mdw    .mdx    .mht    .mmf    .msg    .nab    .nch    .nfo    .nsf    .nws    .ods    .oft    .php    .phtm    .pl    .pmr    .pp    .ppt    .pst    .rtf    .shtml    .slk    .sln    .stm    .tbb    .txt    .uin    .vap    .vbs    .vcf    .wab    .wsh    .xhtml    .xls    .xml       I 排除掉含有以下内容的邮件地址    -dav    .dial.    .kundenserver.    .ppp.    .qmail@    .sul.t-    @arin    @avp    @ca.    @example.    @foo.    @from.    @gmetref    @iana    @ikarus.    @kaspers    @messagelab    @nai.    @panda    @smtp.    @sophos    @www    abuse    announce    antivir    anyone    anywhere    bellcore.    bitdefender    clock    detection    domain.    emsisoft    ewido.    free-av    freeav    ftp.    gold-certs    google    host.    icrosoft.    ipt.aol    law2    linux    mailer-daemon    mozilla    mustermann@    nlpmail01.    noreply    nothing    ntp-    ntp.    ntp@    office    password    postmas    reciver@    secure    service    smtp-    somebody    someone    spybot    sql.    subscribe    support    t-dialin    t-ipconnect    test@    time    user@    variabel    verizon.    viren    virus    whatever@    whoever@    winrar    winzip    you@    yourname       J 发送自身到收集到的邮件地址，邮件具有英文、德语两种语言    德语的邮件为    发件人: [SPOOFED    主题以下之一:    Ihr Passwort    Account Information    SMTP Mail gescheitert    Mailzustellung wurde unterbrochen    Ermittlungsverfahren wurde eingeleitet    Sie besitzen Raubkopien    RTL: Wer wird Millionaer    Sehr geehrter Ebay-Kunde    内容以下之一:    Bei uns wurde ein neues Benutzerkonto mit dem Namen beantragt.    Um das Konto einzurichten, benoetigen wir eine Bestaetigung, dass die bei der Anmeldung angegebene e-Mail-Adresse stimmt.    Bitte senden Sie zur Bestaetigung den ausgefuellten Anhang an uns zurueck.    Wir richten Ihr Benutzerkonto gleich nach Einlangen der Bestaetigung ein und verstaendigen Sie dann per e-Mail, sobald Sie Ihr Konto benutzen koennen.    Vielen Dank,    Ihr Ebay-Team    Aktenzeichen NR.:#    (siehe Anhang)    Hochachtungsvoll    i.A. Juergen Stock    --- Bundeskriminalamt BKA    --- Referat LS 2    --- 65173 Wiesbaden    --- Tel.:  49 (0)611 - 55 - 12331 oder    --- Tel.:  49 (0)611 - 55 - 0    Glueckwunsch: Bei unserer EMail Auslosung hatten Sie und weitere neun Kandidaten Glueck.    Sie sitzen demnaechst bei Guenther Jauch im Studio!    Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.      RTL interactive GmbH      Geschaeftsfuehrung: Dr. Constantin Lange      Am Coloneum 1      50829 Koeln      Fon:  49(0) 221-780 0 oder      Fon:  49 (0) 180 5 44 66 99       附件以下之一:    [字符串1.zip    [字符串1-TextInfo.zip    Email.zip    Email_text.zip    [字符串2.zip    Akte[字符串2.zip    [字符串3.zip    [字符串3_Text.zip    Ebay.zip    Ebay-User_RegC.zip       其中的[字符串1为以下之一:    Service    Webmaster    Postman    Info    Hostmaster    Postmaster    Admin       其中的[字符串2为以下之一:       Downloads    BKA    Internet    Post    Anzeige    BKA.Bund       其中的[字符串3为以下之一:       Kandidat    WWM    Auslosung    Casting    Gewinn    Info    RTL-Admin    RTL    Webmaster    RTL-TV       英语邮件为       发件人: [SPOOFED    主题为以下之一:       Your Password    Registration Confirmation    smtp mail failed    Mail delivery failed    hi, ive a new mail address    You visit illegal websites    Your IP was logged    Paris Hilton & Nicole Richie       内容为以下之一:       ***** Go to:
[url=http://www.[DOMAIN]http://www.[DOMAIN[/url]
NAME OF SENDER    ***** Email: postman    hey its me, my old address dont work at time. i dont know why?!    in the last days ive got some mails. i' think thaz your mails but im not sure!    plz read and check ...    cyaaaaaaa    Please answer our questions!    Steven Allison    Department Office Admin Mail Post    ===dkX XbW6dxPbXWPdSDd@R2XL9)CW9)SRd?kx@?    ===dt4OduXRRL062WR)Wd.2XRPX,dKa,dnSS1d4vvy    *** Washington, DC 20535       Central Intelligence Agency -CIA-       Office of Public Affairs       Washington, D.C. 20505       phone: (703) 482-0623       7:00 a.m. to 5:00 p.m., US Eastern time    The Simple Life:    View Paris Hilton & Nicole Richie video clips , pictures & more ;)    Download is free until Jan, 2006!    Please use our Download manager.       附件名为以下之一:       reg_pass.zip    reg_pass-data.zip    mail.zip    mail_body.zip    mailtext.zip    list[随机字符.zip    question_list[随机字符.zip    downloadm.zip
     2005-11-28 21:41:09