最新駭蟲《Sober.14 駭蟲》會終止微軟的惡意工具移除程序

看板NetSecurity (資安資訊安全)作者ayoyo8927.時間20年前 (2005/11/16 16:32)推噓0(0推 0噓 0→)

留言0則, 0人參與討論串1/1

Sober.14 此隻駭蟲所傳送的病毒郵件主旨和內容大多是以英文或德文為主，不但會刪除電腦內的某些檔案，並且會終止微軟的惡意工具移除之程序(Microsoft Windows Malicious Tool Removal)，使安全性降低，也會收集電腦內的電子郵件地址並使用自己的SMTP引擎傳送郵件。基本介紹：病毒名稱：Worm@W32.Sober.14 病毒別名：CME-157, Win32.Sober.Q [Computer Associates], W32/Sober.t@MM [McAfee],W32.Sober.V@mm[symantec] 病毒型態： Worm , E-Mail 病毒發現日期： 2005/11/16 影響平台：Windows 95/98/ME , Windows NT/2000/XP/2003 Worm@W32.Sober.14 信件格式：發信者： < 隨機 > 主旨： < 下列任一個 > 英文： Registration Confirmation 德文： Haben Sie diese EMail verschickt? 內文： < 下列任一個 > 英文： Thanks for your registration. Your data are saved in the zipped Word.doc file! 德文： Um es vorweg zu sagen: Ich bin kurz davor eine Anzeige gegen sie zu erstatten! Sie spinnen ja wohl! Die E-Mmailhat meine Tochter gelesen!!!!!! Ich habe Ihnen diese Word-Text Datei zu meiner Entlastung zurueckgeschickt. Es waere von Vorteil, wenn Sie sich dazu aeussern wuerden!! 附加檔案： < 下列任一個 > 英文： registration.zip 德文： Word-Text.zip Worm@W32.Sober.14 行為描述：註：%Windir%代表系統所在目錄，在Win95/98/me系統預設值為 C:\windows 在WinNT/2000/XP/2003系統預設值為 C:\WinNT 註：在Win95/98/me %System% 預設值為 C:\windows\System 在WinNT/2000/XP/2003 %System% 系統預設值為 C:\WinNT\System32 顯示下列訊息： "Packed Word Data not present" 試圖刪除下列檔案： a*.exe luc*.exe ls*.exe luu*.exe 顯示下列訊息視窗：標題：LiveUpdate {Symantec} 內容：Thank you for using LiveUpdate. All of the Symantec products and components are currently up-to-date. No Connection! 從下列副檔名檔案中取得電子郵件地址： .pmr .phtm .stm .slk .inbox .imb .csv .bak .imh .xhtml ............ 試圖終止下列程序： mrt.exe (Microsoft Windows Malicious Tool Removal) asw*.tmp 透過自己的SMTP大量發送病毒信件。病毒執行後，在%Windir%產生 bbgdfvdd.exe 病毒執行後，在%System%產生 bbvmwxxf.hml gdfjgthv.cvq langeinf.lin nonrunso.ber rubezahl.rub runstop.rst 病毒執行後，在 %Windir%\ConnectionStatus\Microsoft\ 目錄產生 services.exe concon.www 修改登錄檔，如此開機即會啟動駭蟲。 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run " WinCheck" = "%Windir%\ConnectionStatus\Microsoft\services.exe" 修改登錄檔，如此開機即會啟動駭蟲。 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "_WinCheck" = "%WinDir%\ConnectionStatus\Microsoft\services.exe" -- 夫兵者不祥之器物或惡之故有道者不處君子居則貴左用兵則貴右兵者不祥之器非君子之器不得已而用之恬淡為上勝而不美而美之者是樂殺人夫樂殺人者則不可得志於天下矣吉事尚左凶事尚右偏將軍居左上將軍居右言以喪禮處之殺人之眾以哀悲泣之戰勝以喪禮處之道常無名樸雖小天下莫能臣侯王若能守之萬物將自賓天地相合以降甘露民莫之令而自均始制有名名亦既有夫亦61-62-84-213-adsl-tpe.STATIC.so-net.net.tw海