


發現: 2005 年 11 月 19 日
更新: 2007 年 2 月 13 日 1:03:34 PM
別名: CME-681, WORM_SOBER.AG 【Trend Micro】, W32/Sober-{X, Z} 【Sophos】, Win32.Sober.W 【Computer Associ, Sober.Y 【F-Secure】, W32/Sober@MM!M681 【McAfee】, W32/Sober.AA@mm 【Norman】, Win32/Sober.Z@mm 【Microsoft】
類型: Worm
感染長度: 55,390 bytes
受感染的系統: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP


W32.Sober.X@mm 是一種群發郵件蠕蟲,它將自身作為電子郵件附屬檔案傳送至從受到威脅的計算機處收集的地址。 它使用自己的 SMTP 引擎進行傳播。 該電子郵件可能使用英語或德語。
* 病毒定義(每日 LiveUpdate™) 2005 年 11 月 19 日
* 病毒定義(每周 LiveUpdate™) 2005 年 11 月 22 日
* 病毒定義(智慧型更新程式) 2005 年 11 月 19 日
* 病毒定義(LiveUpdate™ Plus) 2005 年 11 月 19 日
* 廣度級別: Medium
* 感染數量: More than 1000
* 站點數量: More than 10
* 地理位置分布: Low
* 威脅抑制: Easy
* 清除: Moderate
* 損壞級別: Medium
* 大規模傳送電子郵件: Sends itself as an email attachment to addresses gathered from the compromised computer.
* 導致系統不穩定: Mass-mailing of emails may cause system instability.
* 危及安全設定: Overwrites the file luall.exe with a copy of itself so that the worm will run each time that LiveUpdate is lauNCHed.
* 分發級別: High
* 電子郵件的主題: Varies.
* 附屬檔案名稱: Zip file name Varies, but will contain the following file: File-packed_dataINFO.exe
* 連線埠: TCP port 37
執行 W32.Sober.X@mm 時,此蠕蟲會執行以下操作:
1. 顯示包含以下文字的訊息:
Title: WinZip Self-extractor
Body: Error in packed Header
2. 將自身複製為 %Windir%\<隨機檔案名稱>.exe。
* %Windir%\csrss.exe
* %Windir%\WinSecurity\services.exe
* %Windir%\WinSecurity\smss.exe
注意:%System% 是一個變數。蠕蟲會找到 System 資料夾,並將自身複製到其中。默認情況下,此資料夾為 C:\Windows 或 C:\Winnt.
3. 創建下列MIME-encoded .zip檔案將包含該蠕蟲的副本:
* %Windir%\WinSecurity\socket1.ifo
* %Windir%\WinSecurity\socket2.ifo
* %Windir%\WinSecurity\socket3.ifo
4. 創建下列無惡意的檔案:
* %Windir%\WinSecurity\mssock1.DLI
* %Windir%\WinSecurity\mssock2.dli
* %Windir%\WinSecurity\mssock3.dli
* %Windir%\WinSecurity\winmem1.ory
* %Windir%\WinSecurity\winmem2.ory
* %Windir%\WinSecurity\winmem3.ory
* %Windir%\WinSecurity\sysonce.tst
* %Windir%\WinSecurity\starter.run
* %Windir%\WinSecurity\nexttroj.tro
* %System%\bbvmwxxf.hml
* %System%\langeinf.lin
* %System%\nonrunso.ber
* %System%\rubezahl.rub
* %System%\filesms.fms
* %System%\runstop.rst
注意:%System% 是一個變數。蠕蟲會找到 System 資料夾,並將自身複製到其中。默認情況下,此資料夾為 C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000) 或 C:\Windows\System32 (Windows XP)。
5. 將值:
" Windows" = "%Windir%\WinSecurity\services.exe"
這樣,W32.Sober.X@mm 會在每次 Windows 啟動時運行。
6. 將值:
"_Windows" = "%Windir%\WinSecurity\services.exe"
這樣,W32.Sober.X@mm 會在每次 Windows 啟動時運行。
7. 檢查網路連線,方法是與 NTP 伺服器的連線埠聯繫,或連線到以下域之一:
* Rolex.PeachNet.edu
* clock.psu.edu
* cuckoo.nevada.edu
* gandalf.theunixman.com
* nist1.datum.com
* ntp-1.ece.cmu.edu
* ntp-2.ece.cmu.edu
* ntp-sop.inria.fr
* ntp.lth.se
* ntp.massayonet.com.br
* ntp.metas.ch
* ntp.pads.ufrj.br
* ntp0.cornell.edu
* ntp1.arnes.si
* ntp1.theremailer.net
* ntp2.ien.it
* ntp2b.mcc.ac.uk
* ntp2c.mcc.ac.uk
* ntp3.fau.de
* ntps1-1.uni-erlangen.de
* ptbtime2.ptb.de
* rolex.usg.edu
* st.ntp.carnet.hr
* sundial.columbia.edu
* swisstime.ethz.ch
* tick.greyware.com
* time-a.timefreq.bldrdoc.gov
* time-ext.missouri.edu
* time.chu.nrc.ca
* time.ien.it
* time.kfki.hu
* time.mit.edu
* time.nist.gov
* time.nrc.ca
* time.windows.com
* time.xmission.com
* timelord.uregina.ca
* tock.keso.fi
* utcnist.colorado.edu
* vega.cbk.poznan.pl
* time.windows.com
8. 從具有以下擴展名的檔案中收集電子郵件地址:
* .abc
* .abd
* .ABX
* .adb
* .ade
* .adp
* .adr
* .asp
* .bak
* .bas
* .cfg
* .cgi
* .cls
* .cms
* .csv
* .ctl
* .dbx
* .dhtm
* .doc
* .dsp
* .dsw
* .eml
* .fdb
* .frm
* .hlp
* .imb
* .imh
* .imh
* .imm
* .inbox
* .ini
* .jsp
* .ldb
* .log
* .mbx
* .mda
* .mdb
* .mde
* .MDW
* .mdx
* .mht
* .mmf
* .msg
* .nab
* .nch
* .nfo
* .nsf
* .NWS
* .ods
* .oft
* .php
* .phtm
* .pl
* .pmr
* .pp
* .ppt
* .pst
* .rtf
* .shtml
* .slk
* .sln
* .stm
* .tbb
* .txt
* .uin
* .vap
* .vbs
* .vcf
* .wab
* .WSH
* .xhtml
* .xls
* .xml
* -dav
* .dial.
* .kundenserver.
* .ppp.
* .qmail@
* .sul.t-
* @avp
* @ca.
* @example.
* @foo.
* @from.
* @gmetref
* @iana
* @ikarus.
* @kaspers
* @messagelab
* @nai.
* @panda
* @smtp.
* @sophos
* @www
* abuse
* announce
* AntiVir
* anyone
* anywhere
* bellcore.
* bitdefender
* clock
* detection
* domain.
* Emsisoft
* ewido.
* free-av
* freeav
* ftp.
* gold-certs
* google
* host.
* icrosoft.
* ipt.aol
* law2
* linux
* mailer-daemon
* mozilla
* mustermann@
* nlpmail01.
* noreply
* nothing
* ntp-
* ntp.
* ntp@
* office
* password
* postmas
* reciver@
* secure
* service
* smtp-
* somebody
* someone
* Spybot
* sql.
* subscribe
* support
* t-dialin
* t-ipconnect
* test@
* time
* user@
* variabel
* verizon.
* viren
* virus
* whatever@
* whoever@
* winrar
* winzip
* you@
* yourname
9. 試圖將其自身的副本傳送至收集到的電子郵件地址。 該電子郵件可能使用英語或德語,並具有以下特徵:
收件人: 【SPOOFED】
* ihr Passwort
* Account Information
* SMTP Mail gescheitert
* Mailzustellung wurde unterbrochen
* Ermittlungsverfahren wurde eingeleitet
* Sie besitzen Raubkopien
* RTL: Wer wird Millionaer
* Sehr geehrter Ebay-Kunde
* Ihre Nutzungsdaten wurden erfolgreich geaendert. Details entnehmen Sie Bitte dem Anhang.
*** 【http://】www.【DOMAIN NAME OF SENDER】
*** E-Mail: PassAdmin
* Bei uns wurde ein neues Benutzerkonto mit dem Namen
Um das Konto einzurichten, benoetigen wir eine Bestaetigung, dass die bei der Anmeldung angegebene e-Mail-Adresse stimmt.
Bitte senden Sie zur Bestaetigung den ausgefuellten Anhang an uns zurueck.
Wir richten Ihr Benutzerkonto gleich nach Einlangen der Bestaetigung ein und verstaendigen Sie dann per e-Mail, sobald Sie Ihr Konto benutzen koennen.
Vielen dank,
Ihr Ebay-Team
* Sehr geehrte Dame, sehr geehrter Herr,
das Herunterladen von Filmen, Software und MP3s ist illegal und somit strafbar.
Wir moechten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP
erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet.
Die Strafanzeige und die Moeglichkeit zur Stellungnahme wird Ihnen in den naechsten Tagen schriftlich zugestellt.
Aktenzeichen NR.:#
(siehe Anhang)
i.A. Juergen Stock
--- Bundeskriminalamt BKA
--- Referat LS 2
--- 65173 Wiesbaden
--- Tel.: +49 (0)611 - 55 - 12331 oder
--- Tel.: +49 (0)611 - 55 - 0
* Glueckwunsch: Bei unserer EMail Auslosung hatten Sie und weitere neun Kandidaten Glueck.
Sie sitzen demnaechst bei Guenther Jauch im Studio!
Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.
+++ RTL interactive GmbH
+++ Geschaeftsfuehrung: Dr. Constantin Lange
+++ Am Coloneum 1
+++ 50829 Koeln
+++ fon: +49(0) 221-780 0 oder
+++ Fon: +49 (0) 180 5 44 66 99
* 【STRING 1】.zip
* 【STRING 1】-TextInfo.zip
* Email.zip
* Email_text.zip
* 【STRING 2】.zip
* Akte【STRING 2】.zip
* 【STRING 3】.zip
* 【STRING 3】_Text.zip
* Ebay.zip
* Ebay-User_RegC.zip
此處變數【STRING 1】 為下列項目之一
* Service
* Webmaster
* Postman
* Info
* Hostmaster
* Postmaster
* Admin
此處變數【STRING 2】 為下列項目之一
* Downloads
* Internet
* Post
* Anzeige
* BKA.Bund
此處變數【STRING 3】 為下列項目之一
* Kandidat
* wwm
* Auslosung
* Casting
* Gewinn
* Info
* RTL-Admin
* Webmaster
收件人: 【SPOOFED】
* Your Password
* Registration Confirmation
* smtp mail failed
* Mail delivery failed
* hi, ive a new mail address
* You visit illegal websites
* Your IP was logged
* Paris Hilton & nicole richie
* Account and Password Information are attached!
Protected message is attached!
***** Go to: 【http://】www.【DOMAIN NAME OF SENDER】
***** Email: postman
* This is an automatically generated Delivery Status Notification.
SMTP_Error 【】
I'm afraid I wasn't able to deliver your message.
This is a permanent error; I've given up. Sorry it didn't work out.
The full mail-text and header is attached!
* hey its me, my old address dont work at time. i dont know why?!
in the last days ive got some mails. i' think thaz your mails but im not sure!
plz read and check ...
* Dear Sir/Madam,
we have logged your IP-address on more than 30 illegal Websites.lease answer our questions!
The list of questions are attached.
Yours faithfully,
Steven Allison
Department Office Admin Mail Post
===DKX XbW6dxPbXWPdSDd@R2XL9)CW9)SRd?kx@?
*** Federal Bureau of Investigation -FBI-
*** 935 Pennsylvania Avenue, NW, Room 3220
*** Washington, DC 20535
++++ Central Intelligence Agency -CIA-
++++ Office of Public Affairs
++++ Washington, D.C. 20505
++++ phone: (703) 482-0623
++++ 7:00 a.m. to 5:00 p.m., US Eastern time
* The Simple Life:
View Paris Hilton & Nicole Richie video clips , pictures & more ;)
Download is free until Jan, 2006!
Please use our Download manager.
* reg_pass.zip
* reg_pass-data.zip
* mail.zip
* mail_body.zip
* mailtext.zip
* question_list【RANDOM CHARACTERS】.zip
* downloadm.zip
* 禁用並刪除不需要的服務。 默認情況下,許多作業系統會安裝不必要的輔助服務,如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除,混合型威脅的攻擊途徑會大為減少,同時您的維護工作也會減少,只通過補丁程式更新即可完成。
* 如果混合型威脅攻擊了一個或多個網路服務,則在套用補丁程式之前,請禁用或禁止訪問這些服務。
* 始終安裝最新的補丁程式,尤其是那些提供公共服務而且可以通過防火牆訪問的計算機,如 HTTP、FTP、郵件和 DNS 服務(例如,所有基於 Windows 的計算機上都應該安裝最新的 Service Pack)。. 另外,對於本文中、可靠的安全公告或供應商網站上公布的安全更新,也要及時套用。
* 強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。
* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件,這些檔案常用於傳播病毒。
* 迅速隔離受感染的計算機,防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。
* 教育員工不要打開意外收到的附屬檔案。 並且只在進行病毒掃描後才執行從網際網路下載的軟體。如果未對某些瀏覽器漏洞套用補丁程式,那么訪問受感染的網站也會造成病毒感染。
以下指導適用於所有最新和最近的 Symantec 防病毒產品(包括 Symantec AntiVirus 和 Norton AntiVirus 系列產品)。
1. 禁用系統還原 (Windows Me/XP)。
2. 更新病毒定義。
3. 運行完整的系統掃描,並刪除所有被檢測為 W32.Sober.X@mm 的檔案。
4. 刪除添加到註冊表的任何值。
1. 禁用系統還原(Windows Me/XP)
如果您運行的是 Windows Me 或 Windows XP,建議您暫時關閉“系統還原”。此功能默認情況下是啟用的,一旦計算機中的檔案被破壞,Windows 可使用該功能將其還原。如果病毒、蠕蟲或特洛伊木馬感染了計算機,則系統還原功能會在該計算機上備份病毒、蠕蟲或特洛伊木馬。
Windows 禁止包括防病毒程式在內的外部程式修改系統還原。因此,防病毒程式或工具無法刪除 System Restore 資料夾中的威脅。這樣,系統還原就可能將受感染檔案還原到計算機上,即使您已經清除了所有其他位置的受感染檔案。
此外,病毒掃描可能還會檢測到 System Restore 資料夾中的威脅,即使您已將該威脅刪除。
有關如何關閉系統還原功能的指導,請參閱 Windows 文檔或下列文章之一:
o 如何禁用或啟用 Windows XP 系統還原
o 如何禁用或啟用 Windows Me 系統還原
有關詳細信息以及禁用 Windows Me 系統還原的其他方法,請參閱 Microsoft 知識庫文章:病毒防護工具無法清除 _Restore 資料夾中受感染的檔案,文章 ID:CH263455。
2. 更新病毒定義
o 運行 LiveUpdate(這是獲取病毒定義的最簡便方法):這些病毒定義被每周一次(通常在星期三)發布到 LiveUpdate 伺服器上,除非出現大規模的病毒爆發情況。要確定是否可通過 LiveUpdate 獲取此威脅的定義,請參考病毒定義 (LiveUpdate)。
o 使用智慧型更新程式下載病毒定義:智慧型更新程式病毒定義會在工作日(美國時間,星期一至星期五)發布。應該從賽門鐵克安全回響中心網站下載病毒定義並手動進行安裝。要確定是否可通過智慧型更新程式獲取此威脅的定義,請參考病毒定義(智慧型更新程式)。
3. 掃描和刪除受感染檔案
1. 啟動 Symantec 防病毒程式,並確保已將其配置為掃描所有檔案。
o Norton AntiVirus 單機版產品:請閱讀文檔:如何配置 Norton AntiVirus 以掃描所有檔案。
o 賽門鐵克企業版防病毒產品:請閱讀 如何確定 Symantec 企業版防病毒產品被設定為掃描所有檔案。
2. 運行完整的系統掃描。
3. 如果檢測到任何檔案被 W32.Sober.F@mm 感染,請單擊“刪除”。
注意:如果您的 Symantec 防病毒產品報告無法刪除受感染的檔案,Windows 可能正在使用該檔案。要解決該問題,請在安全模式下運行掃描。有關指導,請參閱文檔:如何以安全模式啟動計算機。 以安全模式重新啟動後,再次運行掃描。
標題: 【檔案路徑】
訊息正文: Windows 找不到 【檔案名稱】。請確保鍵入了正確的名稱,然後重試。要搜尋檔案,請單擊“開始”按鈕,然後單擊“搜尋”。
4. 從註冊表中刪除值
重要信息: Symantec 強烈建議在進行任何更改之前先備份註冊表。錯誤地更改註冊表可能導致數據永久丟失或檔案損壞。應只修改指定的子鍵。有關指導,請參閱文檔:「如何備份 Windows 註冊表」
1. 單擊“開始”>“運行”。
2. 鍵入 regedit
3. 單擊“確定”。
4. 導航至以下子鍵:
5. 在右窗格中,刪除以下值:
" WinStart" = "%Windir%\Connection Wizard\Status\services.exe"
6. 導航至以下子鍵:
7. 在右窗格中,刪除以下值:
"_WinStart" = "%Windir%\Connection Wizard\Status\services.exe"
8. 退出註冊表編輯器。



