I-Worm/Sobig.e技术分析

　　好大病毒最新变种I-Worm/Sobig.e技术分析报告

　　病毒名称：I-Worm/Sobig.e
　　危害程度：高
　　病毒大小：压缩后的zip 文件大小是:82195字节；
　　　　　　　未压缩的exe 可执行文件大小是:86528字节
　　感染平台：所有流行WINDOWS操作系统
　　病毒传播时间：2003年7月13日前

　　病毒描述：

　　I-Worm/Sobig.e和以前的变种病毒一样，具有普通网络蠕虫和原病毒I-Worm/Sobig的多重特点。其中最明显的特征是通过自动搜索到的邮件地址，大量发送含有该病毒的信件。

　　病毒向以下格式的文件中搜索邮件地址：

　　(1)wab格式文件

　　wab是WINDOWS的标准地址簿;该文件中一定含有电子邮件地址，除非内容为空，只要有内容就会有邮件地址。

　　(2)dbx格式文件

　　dbx是WINDOWS的OUTLOOK的信件标准格式文件;该文件中只要进行了收、发信笺就一定会有邮件地址。

　　(3)htm和html格式文件

　　这是标准的超文本文件，这些文件中可能含有电子邮件地址;

　　(4)eml格式文件

　　这是标准的信笺的文件表现形式，一般来说都是会有邮件地址的。但是可能不如wab,dbx等文件中的邮件地址多;

　　(5)txt文件

　　这是纯文本文件，可能含有邮件地址.

　　病毒通过邮件传播时的特征如下:

　　(1)该网络蠕虫假装邮件地址来自yahoo.com的技术支持信箱:support@yahoo.com

　　(2)邮件的主题可能如下:

　　Re: Application
　　Re: Movie
　　Re: Movies
　　Re: Submitted
　　Re: ScRe:ensaver
　　Re: Documents
　　Re: Re: Application ref 003644
　　Re: Re: Document
　　Your application
　　Application.pif
　　Applications.pif
　　movie.pif
　　Screensaver.scr
　　submited.pif
　　new document.pif
　　Re: document.pif
　　004448554.pif
　　Referer.pif

　　(3)邮件的可能附件:

　　your_details.zip (实际含有文件:details.pif) ,
　　application.zip (实际含有文件:application.pif),
　　document.zip (实际含有文件:document.pif) ,
　　screensaver.zip (实际含有文件:sky.world.scr),
　　movie.zip (实际含有文件:Movie.pif). 附件文件的大小是82195字节。

　　病毒在传播时间上给自身做了限制，只传播到2003年7月13日，在这之后，就没有传播作用。

　　病毒除了通过电子邮件传播，还通过局域网中的共享目录来传播。

　　病毒的技术特征如下：

　　1)当该蠕虫自动执行后，将自身拷贝到WINDOWS目录下，并以文件winssk32.exe 存在。建立文件msrrf.dat,并修改系统注册表键值：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下增加键SSK Service,其键值指向winssk32.exe.
　　如果系统是NT结构,修改的系统注册表还可能是：HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run。
　　显然在下次系统启动时，该网络蠕虫会被自动运行。KV江民杀毒王2003的注册表监视功能可以立即监视到这种变化，同时会自动禁止对系统注册表的添加等操作。

　　(2)局域网传播

　　该网络蠕虫可能会自动遍历局域网内部的共享网络资源，并将网络蠕虫自身拷贝到共享的系统启动Startup目录
[实际的目录可能是:Windows\All Users\Start Menu\Programs\StartUp(除Windows xp 外的WINDOWS系统)和
Documents and Settings\All Users\Start Menu\Programs\Startup(WINDOWS xp系统下)