概述
>>下載“大無極”病毒的專殺工具:http://app.wx88.net/virus_new/bdgg/old/RavSobig.exe========================================================
“大無極”病毒介紹
--------------------------------------------------------------------------------病毒名稱:Worm.Sobig
中文名稱:大無極
發作時間:隨機
病毒類型:蠕蟲病毒
傳播方式:網路/郵件
感染對象:網路
警惕程度:★★★★
病毒介紹:
它通過區域網路傳播,查找區域網路上的所有計算機,並試圖將自身寫入網上各計算機的啟動目錄中以進行自啟動。該病毒一旦運行,在計算機聯網的狀態下,就會自動每隔兩小時到某一指定網址下載病毒,同時它會查找電腦硬碟上所有郵件地址,向這些地址傳送標題如:"Re: Movies"、"Re: Sample"等字樣的病毒郵件進行郵件傳播,該病毒還會每隔兩小時到指定網址下載病毒,並將用戶的隱私發到指定的信箱。由於郵件內容的一部分是來自於被感染電腦中的資料,因此有可能泄漏用戶的機密檔案,特別是對利用區域網路辦公的企事業單位,最好使用網路版防毒軟體以防止重要資料被竊取!
病毒的發現與清除:
此病毒會有如下特徵,如果用戶發現計算機中有這些特徵,則很有可能中了此病毒:
1.病毒第一次啟動時會把自己複製到windows目錄下命名為:winmgm32.exe。
2.病毒會修改註冊表,在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中添加鍵值WindowsMGM鍵,該鍵值的內容是病毒的檔案路徑,這樣在下一次啟動計算機時,病毒會自動運行。
3.病毒會遍曆局域網,並嘗試把自己複製到其它計算機的Windows\All Users\Start Menu\Programs\StartUp\及Documents and Settings\All Users\Start Menu\Programs\Startup,用戶可以查看這些目錄。
4.用戶會傳送病毒郵件進行網路傳染,病毒會建立標題為:"Re: Movies","Re: Sample","Re: Document","Re: Here is that sample",附屬檔案為:"Movie_0074.mpeg.pif","Sample.pif","Document003.pif","Untitled1.pif"的病毒郵件。
用戶如果在自己的計算機中發現以上全部或部分現象,則很有可能中了“大無極” (Worm.Sobig)病毒。用戶可以手工刪除以上提到的病毒檔案和註冊表鍵值,但如果要想完全清除該病毒造成的影響,最好還是選用防毒軟體進行清除。
============================================================
“大無極”病毒的解決方案和相應的預防措施
--------------------------------------------------------------------------------
================================================================================
解決方法:
一、首先在資源管理器中結束此病毒程式的進程,並且在系統目錄中查找此病毒的生成檔案winmgm32.exe,找到後將其刪除;也可以在DOS操作環境中將此病毒檔案刪除。
二、在註冊表編輯器:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中將鍵值:WindowsMGM刪除。
三、及時升級防毒軟體,升級之後在整個硬碟中查殺此病毒,徹底清除掉查到的“大無極”蠕蟲病毒。廣大區域網路用戶也可以通過網路版防毒軟體進行徹底的防毒工作,以消除此病毒造成的影響。
預防措施:
一、打開郵件監控
由於該病毒有很強郵件傳播特性,所以建議廣大用戶在上網收信之前,打開郵件監控,過濾病毒,以防此病毒的感染。
二、區域網路用戶進行全網查毒 可索取瑞星免費網路版
該病毒會在區域網路全速傳播,為了減少您的損失,請網管將區域網路系統中心進行升級,進行全網查毒。對於沒有使用網路版防毒軟體的區域網路用戶來說,使用單機版防毒軟體無法在整個網路中徹底查殺該病毒.
==========================================================================
1月11日,“大無極(Worm.Sobig)”病毒開始登入中國,並在當天被瑞星全球反病毒監測網截獲。由於該病毒有很強的區域網路傳播特性,並且會泄漏用戶的機密信息,因此瑞星公司對此病毒進行了跟蹤。
在短短數日,僅瑞星公司設定的一個對外信箱,就利用瑞星防毒軟體的郵件監控功能攔截了1千多封病毒郵件,同時瑞星的技術支持部門也收到大量的用戶求助信息。瑞星反病毒工程師從目前情況分析,這個病毒已經在國內開始大範圍傳播,並且有泛濫的可能。
該病毒有如下特性:
一、從網上下載病毒體 控制用戶計算機
該病毒運行時,會每隔2小時查詢一下網路狀態,如果計算機發現計算機連線了網際網路,則該病毒會從一指定網址下載病毒體:dwn.dat,企圖對計算機進行控制。
二、迅速感染區域網路
該病毒會查詢區域網路上的所有計算機,將病毒體放入區域網路計算機中的所有登入用戶作業系統的啟動目錄,使其它用戶第二次開機時自動運行病毒。
三、支持多種地址薄,瘋狂傳送病毒郵件
該病毒能識別多種地址薄,會搜尋硬碟上的所有txt,wab,dbx,htm,html,eml的檔案並從中提取出email地址,然後向這些地址傳送含病毒的郵件,這些郵件中會隨機攜帶被感染機器的檔案,包括用戶的一些資料。
該病毒為了吸引用戶查看病毒郵件,則會採用一些富有欺騙性的標題,譬如:"Re: Movies","Re: Sample","Re: Document"等等,使用戶上當。
解決方法:
一、 升級最新病毒庫
目前瑞星的最新版本號是15.17.02,請廣大用戶進行確認,並登入瑞星網站查詢相關信息。
二、打開郵件監控
由於該病毒有很強郵件傳播特性,建議用戶在上網收信之前,打開郵件監控,過濾病毒。
三、區域網路用戶進行全網查毒 可索取瑞星免費網路版
==========================================================================================
[快訊]1月11日,瑞星全球反病毒監測網截獲一個蠕蟲病毒Worm.SoBig("大無極"病毒),這個病毒的主要危害是亂髮郵件,郵件內容的一部分來自被感染機器中的資料,因此有可能泄漏用戶的機密檔案,特別是對利用區域網路辦公的企事業單位。
在短短一天時間內,瑞星技術服務中心已經接到數起感染報告,因此這個病毒極有可能大面積傳播。請廣大用戶關注瑞星網站的升級信息,遇到可疑情況立即和瑞星技術服務部門聯繫,防止重要資料泄漏。
“大無極”病毒發作行為如下:
如果不是以start 參數啟動病毒時,病毒將只是把自己複製到windows目錄檔案名稱為:winmgm32.exe(在註冊表run項中加入WindowsMGM鍵。)之後病毒以start為參數啟動該檔案。
病毒以start 參數啟動時,建立一個"Worm.X"的互斥量,創建4個執行緒:
主執行緒:負責遍歷硬碟上的txt,wab,dbx,htm,html,eml的檔案從中提取email地址。
執行緒1:病毒將一些用戶信息傳送到指定的信箱。
執行緒2:從一個指定的網站上下載一個檔案並運行它,檔案名稱為dwn.dat,2個小時重複一次。
執行緒3:負責利用主執行緒搜尋出來的mail地址進行郵件傳播。
執行緒4:遍曆局域網,並嘗試把自己複製到其它計算機的Windows\All Users\Start Menu\Programs\StartUp\及Documents and Settings\All Users\Start Menu\Programs\Startup目錄。
Mail:郵件體本身並沒有利用OutLook漏洞,但隨機調選病毒體內的字串做為標題發件人等。可能出現的標題:"Re: Movies","Re: Sample","Re: Document","Re: Here is that sample"...,可能出現的附屬檔案名:"Movie_0074.mpeg.pif","Sample.pif","Document003.pif","Untitled1.pif"...
