病毒别名：
处理时间：
威胁级别：★★
中文名称：
病毒类型：蠕虫
影响系统：Win9x / WinNT
病毒行为:
该病毒是一个蠕虫病毒,通过疯狂的发送带毒电子邮件传播,导致用户网络变慢,影响用户正常工作.,

1.该病毒在被感染的系统中创建以下文件:

%SystemRoot%\msagent\win32\smss.exe
%SystemRoot%\msagent\win32\winlogon.exe
%SystemRoot%\msagent\win32\csrss.exe

2.添加键值

" winsystem.sys" = "%SystemRoot%\msagent\win32\smss.exe"
到 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

因此该病毒能随计算机启动而运行.

添加键值

"_winsystem.sys" = "%SystemRoot%\msagent\win32\smss.exe"
到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

3.在临时文件夹下创建一个名1.txt的文件并打开,文件内容为以下:

Text#674326
-----------
--------------------- %WinZip CodeText Modul% is missing ------------------
an4Msmyaoq5PwFuQLJtl075owaVGwlJd0zSDZZPF3hcYNE3TmcMDYMzb6dM0ndslxIsDWJOiTbN9
Ta7cF8UDSF9rkk3TNIeVwxPGpGma5hgmNEnBNIMsBwLHBBsd0jRN0zBFU4LAkGbZDO5ByG/C0zTN
ci/JPk107O3Dy0z4ABRAn6PNG+zck8uzzarNgBSbB8zKaZZNt9MD4T7Lm6vLZpCmzen7CcwVa5bN
ILIvzUxyVzkZk6aQnFet0G7TnD210G/wJj7O2zRN03QDU7bI1NkM5jaD8gfPbwMc0zQD0iEvRlIg
...

4.在系统中创建以下文件:

%SystemRoot%\msagent\win32\zipedso1.ber
%SystemRoot%\msagent\win32\zipedso2.ber
%SystemRoot%\msagent\win32\zipedso3.ber
%SystemRoot%\msagent\win32\datamx1.dat
%SystemRoot%\msagent\win32\datamx2.dat
%SystemRoot%\msagent\win32\datamx3.dat
%SystemRoot%\msagent\win32\GoTo1.dat
%SystemRoot%\msagent\win32\GoTo2.dat
%SystemRoot%\msagent\win32\GoTo3.dat
%SystemRoot%\msagent\win32\runnowso.ber
%SystemRoot%\msagent\win32\[random letters].ano
%SystemRoot%\System32\nonrunso.ber
%SystemRoot%\System32\stopruns.zhz
%SystemRoot%\System32\read.me

5.如果当前网络处于断线状态,则病毒会尝试拨号

6.显示一个假造的信息,大致内容如下:

Winsock 2.0 Error
STOP:0x10020AF
Possible Reason: Your "Firewall" is blocking one or more System files
Check the "Winsock Error Log File" on: C:\WinsockError_log.txt

7.创建假造的log文件WinsockError_log.txt

8.从以下扩展名文件中搜索Email地址:
.abc
.abd
.abx
.adb
.ade
.adp
.adr
.asp
.bak
.bas
.cfg
.cgi
.cls
.cms
.csv
.ctl
.dbx
.dhtm
.doc
.dsp
.dsw
.eml
.fdb
.frm
.hlp
.imb
.imh
.imh
.imm
.inbox
.ini
.jsp
.ldb
.ldif
.log
.mbx
.mda
.mdb
.mde
.mdw
.mdx
.mht
.mmf
.msg
.nab
.nch
.nfo
.nsf
.nws
.ods
.oft
.php
.phtm
.pl
.pmr
.pp
.ppt
.pst
.rtf
.shtml
.slk
.sln
.stm
.tbb
.txt
.uin
.vap
.vbs
.vcf
.wab
.wsh
.xhtml
.xls
.xml

9.该病毒会辟免把病毒邮件发送到包含以下字符串的邮箱中.
.dial.
.kundenserver.
.ppp.
.qmail@
.sul.t-
@arin
@avp
@ca.
@example.
@foo.
@from.
@gmetref
@iana
@ikarus.
@kaspers
@messagelab
@nai.
@panda
@smtp.
@sophos
@www
abuse
announce
antivir
anyone
anywhere
bellcore.
bitdefender
clock
detection
domain.
emsisoft
ewido.
free-av
freeav
ftp.
gold-certs
google
host.
iana-
iana@
icrosoft.
info@
ipt.aol
law2
linux
mailer-daemon
mozilla
mustermann@
nlpmail01.
noreply
nothing
ntp.
ntp-
ntp@
reciver@
secure
smtp-
somebody
someone
spybot
sql.
subscribe
support
t-dialin
t-ipconnect
test@
time
user@
variabel
verizon.
viren
virus
whatever@
whoever@
winrar
winzip
you@
yourname

10.发送带毒邮件给搜索到的邮箱,邮件内容为英语或德语.

病毒邮件具有如下特征:

发件人:(以下之一)

Service
Webmaster
Register
Hostmaster
Postmaster
service
webmaster
register
hostmaster
postmaster
police@FBI.govOfficer@FBI.govAdmin@FBI.govWeb@FBI.govFBI@FBI.govpolice@fbi.govOfficer@fbi.govAdmin@fbi.govWeb@fbi.govFBI@fbi.govSecurity@microsoft.com主题:(以下之一)

Ihr Passwort wurde geaendert
Ihr neues Passwort
EMail-Empfang fehlgeschlagen
Paris Hilton Nackt!
Paris Hilton SexVideos
Seitensprung gesucht?
Vorsicht! Neuer Sober Wurm!
Anhang Scanner: Kein Virus enthalten
Mail Scanner: Kein Virus gefunden
AntiVirus System: No Virus found
Your new Password
Mail_delivery_failed
Paris Hilton, pure!
Alert! New Sober Worm!
Attachment: No Virus found
Mail-Scanner: No Virus detected
AntiVirus: Found to be clean
You visit illegal websites

正文:(以下之一)

Hallo,
wir hoffen das Ihnen die Betreffszeile unsere Mail genug sagt.
Der Jugendschutz verbietet uns leider mehr Auskunft ueber unser Angebot zu geben.
Informationen,,,, wie Sie sich bei uns anmelden koennen befinden sich im beigefuegten Dokument.
Natuerlich ist die Anmeldung Kostenlos!
Mehr als 2.5 Millionen registrierte Benutzer!!!
Da ist fuer jeden was dabei!
Auf Wiedersehen
Wichtige Information!
Eine neue Sober-Variante verbreitet sich derzeit im Internet. Wie seine Vorgaenger verschickt sich der Wurm von infizierten Windows-Rechnern per E-Mail an weitere Adressen.
Es wird deshalb empfohlen, das Patch-Tool auszufuehren um sich vor diesem Wurm zu schuetzen bzw. diesen wieder zu entfernen.
--- (c)2005 Microsoft Corporation. Alle Rechte vorbehalten
--- Vertretungsberechtigter: Juergen Gallmann
--- Handelsregisternummer: HRB 70438
--- E-Mail Adresse: security@microsoft.com## Diese E-Mail wurde automatisch generiert
## Aus Gruenden der Sicherheit, bekommen Sie diese E-Mail
## wenn Ihr aktuelles Benutzer- Passwort veraendert wurde
---------------
Ihr neues Passwort und weiter Informationen befinden sich im beigefuegten Dokument.
**** Ein Service von
**** http://www.
**** Mail: Help-Line
Vielen Dank, dass Sie sich bei registriert haben.
Der Betrag von,- Euro ist erfolgreich auf unserem Konto eingegangen.
Passwort, Benutzername und weitere wichtige Informationen zu ihrem neuen Account befinden sich im angehefteten Dokument.
Hochachtungsvoll
Silvia Hochberger
- System Mail -
Diese an ihnen gerichtete E-Mail, wurde in einem falschen Format gesendet.
Der Betreff, Header und Text dieser Mail, wurde deshalb separat in einer Text-Datei gespeichert und gezippt.
Vielen Dank fuer Ihr Verstaendnis[System auto- mail]
Guten Tag,
mehr als 50 Videos,
Mehr als 1000 heisse Fotos
und mehr als 300 original Sounds von der kleinen Hilton ........ .
Alles frei zum Download, aber nur bis zum 01 April 2005 !!!
Weitere Details entnehmen Sie bitte dem vorliegendem Dokument.
Vielen Dank!
Webmaster
Dear Sir/Madam,
we have logged your IP-address on more than 40 illegal Websites.
Important: Please answer our questions!
The list of questions are attached.
Yours faithfully,
M. John Stellford
++-++ Federal Bureau of Investigation -FBI-
++-++ 935 Pennsylvania Avenue, NW, Room 2130
++-++ Washington, DC 20535
++-++ (202) 324-3000
ATTENTION!
Antivirus vendors are warning of a new variant of the Sober
virus discovered today that can delete the hard disk.
Protection:
Download and read the zipped patch. It's very easy to install!
Thanks for your cooperation!
--- (c)2005 Microsoft Corporation. All rights reserved
--- Microsoft Corporation
--- One Microsoft Way
--- Redmond, Washington 98052-6399
More than 50 HOT Hilton Videos
More than 3000 Hilton picks
FREE Download until April, 2005
Make your own Download Account, its free!
Further details are attached
Thanks & have fun ;)
This is an automatically generated Delivery Status Notification.
ESMTP Error []
I'm afraid I wasn't able to deliver your message.
This is a permanent error; I've given up. Sorry it didn't work out.
The full mail-text and header is attached
Thanks for your registration!
We have received your payment.
For more detailed information, read the attached text.

附件:(以下之一)

Patch-Formular.zip
Patch-Tool.zip
PSW-Text.zip
zipped-text.zip
zipped-mail.zip
Register-Info.zip
register_text.zip
header_text.zip
text_register.zip
patch_help-text.zip
text-indictment_cit.zip