病毒名称：Wrom.Sobig.b.50586

　　病毒类型：蠕虫

　　病毒长度：50586

　　危害级别：中

　　传播速度：高

　　技术特征：

　　 该病毒是蠕虫“巨无霸”(Worm.Sobig)的最新变种，采用UPX进行压缩。在继承了上一版本的功能外，此变种增加了对字符串加密的功能，来躲避杀毒软件的查杀。

　　病毒行为：

　　 1、自我复制到系统目录(%Windir%)下，文件名为：msccn32.exe

　　 2、添加注册表中的启动项：

　　 HKLM\Software\Microsoft\Windows\CurrentVersion\Run

　　 "System Tray" = "%Windir%\msccn32.exe"

　　 HKCU\Software\Microsoft\Windows\CurrentVersion\Run

　　 "System Tray" = "%Windir%\msccn32.exe"

　　 HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run

　　 "System Tray" = "%Windir%\msccn32.exe"

　　 3、枚举局域网共享文件夹，拷贝自身到局域网的共享文件夹，并试图复制到如下目录中：

　　 Windows\All Users\Start Menu\Programs\StartUp

　　 Documents and Settings\All Users\Start Menu\Programs\Startup

　　 4、病毒会释放两个INI文件，并试图从INI文件中提及的4个不同网址上下载数据。INI文件为：

　　 %Windir%\hnks.ini

　　 %Windir%\msdbrr.ini

　　 5、在*.wab、*.dbx 、*.htm 、*.html 、*.eml 、*.txt文件中查找Email地址，并向这些址发送含病毒自身的邮件

　　 发送邮件时可能的发件人、主题、正文和附件名称

　　 发件人：

　　 support@microsoft.com

　　 主题：

　　 Your details

　　 Approved (Ref: 38446-263)

　　 Re: Approved (Ref: 3394-65467)

　　 Your password

　　 Re: My details

　　 Screensaver

　　 Cool screensaver

　　 Re: Movie

　　 Re: My application

　　 正文：

　　 All information is in the attached file.

　　 附件名称：

　　 your_details.pif

　　 ref-394755.pif

　　 approved.pif

　　 password.pif

　　 doc_details.pif

　　 screen_temp.pif

　　 screen_doc.pif

　　 movie28.pif

　　 application.pif

　　 敬请广大用户提高警惕，该病毒流传极为迅猛，请及时升级金山毒霸，不要轻易点击陌生人来信和可疑信件的附件。