病毒名称：Wrom.Sobig.c.56320

　　病毒类型：蠕虫

　　病毒长度：56320

　　危害级别：中

　　传播速度：高

　　技术特征：

　　 该病毒是蠕虫“巨无霸”(Worm.Sobig)的最新变种，使用VC编写，采用UPX进行压缩。

　　病毒行为：

　　 1、自我复制到系统目录(%Windir%)下，文件名为：mscvb32.exe，同时创建文件msddr.dll、msddr.dat

　　 2、添加注册表中的启动项：

　　 HKLM\Software\Microsoft\Windows\CurrentVersion\Run

　　 “System MScvb = "%Windir%\mscvb32.exe"

　　 HKCU\Software\Microsoft\Windows\CurrentVersion\Run

　　 "System Tray" = "%Windir%\mscvb32.exe"

　　 3、枚举局域网共享文件夹，拷贝自身到局域网的共享文件夹，并试图复制到如下目录中：

　　 Windows\All Users\Start Menu\Programs\StartUp

　　 Documents and Settings\All Users\Start Menu\Programs\Startup

　　4、从msddr.dat文件中读取网址，尝试从这些网址中下载病毒数据

　　 5、在*.wab、*.dbx 、*.htm 、*.html 、*.eml 、*.txt文件中查找Email地址，并向这些址发送含病毒自身的邮件

　　 发送邮件时可能的发件人、主题、正文和附件名称

　　 发件人：

　　bill@microsoft.com

　　 主题：

　　Re: Movie

　　Re: Submited (004756-3463)

　　Re: 45443-343556

　　Re: Approved

　　Approved

　　Re: Your application

　　Re: Application

　　正文：

　　 Please see the attached file.

　　附件名称：

　　screensaver.scr

　　movie.pif

　　submited.pif

　　45443.pif

　　documents.pif

　　approved.pif

　　application.pif

　　document.pif

　　金山毒霸敬请广大用户提高警惕，该病毒流传极为迅猛。为防止该病毒对您的危害，请及时升级金山毒霸，不要轻易点击陌生人来信和可疑信件的附件。