病毒名称：Wrom.Sobig.e

　　病毒类型：蠕虫

　　病毒长度：86528

　　危害级别：中

　　传播速度：高

　　技术特征：

　　 该病毒是蠕虫“巨无霸”(Worm.Sobig)的最新变种，和以前的“巨无霸”变种一样，具有蠕虫病毒最普遍的特征——大量发送带毒的邮件和通过局域网传播，而“巨无霸”最大的特点是会自动搜索文件中的邮件地址来发送带毒邮件，并且会伪装成一些大公司的发的邮件，这次是伪装成“雅虎”的技术支持邮件（support@yahoo.com）。

　　技术特征：

　　 1、自我复制到系统目录(%Windir%)下，文件名为：winssk32.exe，同时创建文件msrrf.dat

　　 2、添加注册表中的启动项：

　　 HKLM\Software\Microsoft\Windows\CurrentVersion\Run

　　 "SSK Service"="%Windir%\winssk32.exe"

　　 对于Windows NT/2000/XP系统，还会添加以下启动项：

　　 HKCU\Software\Microsoft\Windows\CurrentVersion\Run

　　 "SSK Service"="%Windir%\winssk32.exe"

　　 3、枚举局域网共享文件夹，拷贝自身到局域网的共享文件夹，并试图复制到如下目录中：

　　 Windows\All Users\Start Menu\Programs\StartUp

　　 Documents and Settings\All Users\Start Menu\Programs\Startup

　　4、从msrrf.dat文件中读取网址，尝试从这些网址中下载病毒数据

　　5、该病毒限制了传播时间，只会在2003年7月13日以前进行传播。

　　6、在*.wab、*.dbx 、*.htm 、*.html 、*.eml 、*.txt文件中查找Email地址，并向这些址发送含病毒自身的邮件，发件人伪装为：support@yahoo.com

　　 发送邮件时可能的发件人、主题和附件名称

　　 发件人：

　　support@yahoo.com

　　 主题：

　　Re: Application

　　Re: Movie

　　Re: Movies

　　Re: Submitted

　　Re: ScRe:ensaver

　　Re: Documents

　　Re: Re: Application ref 003644

　　Re: Re: Document

　　Your application

　　Application.pif

　　Applications.pif

　　movie.pif

　　Screensaver.scr

　　submited.pif

　　new document.pif

　　Re: document.pif

　　004448554.pif

　　Referer.pif

　　附件名称：

　　your_details.zip (contains details.pif)

　　application.zip (contains application.pif)

　　document.zip (contains document.pif)

　　screensaver.zip (contains sky.world.scr)

　　movie.zip (contains Movie.pif)

　　敬请广大用户提高警惕，该病毒流传极为迅猛。为防止该病毒对您的危害，请及时升级金山毒霸，不要轻易打开看似“雅虎”技术支持邮件的附件。