病毒名称：Worm.Sobig.f

　　病毒类型：蠕虫

　　病毒长度：73373

　　危害级别：4C

　　技术特征

　　该病毒搜索特定文件中的邮件地址通过发邮件的方式传播，还能通过局域网进行传播。本次变种还加入了自动升级，和受病毒制作者控制下从特定的服务器地址下载木马，并自动安装这个木马到受感染的系统，造成泄密。

　　技术细节

　　1. 拷贝自身到%Windir%winppr32.exe

　　2. 创建文件%Windir%winsst32.dat

　　3. 添加注册表键值

　　 "TrayX"="%Windir%\winppr32.exe /sinc"到

　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run

　　 下，以使随机启动。

　　4. 病毒使用标准得系统API企图拷贝自身到网络共享设备上

　　5、搜索特定文件中的邮件地址，发送病毒邮件。搜索dbx\hlp\mht\wab\html中获取邮箱地址，发送带毒邮件。

　　邮件特征如下：

　　发件人: 一个欺骗地址，病毒有可能使用admin@internet.com做为发件人

　　随机选择如下9个字符串做邮件主题：

　　Re: Details

　　Re: Approved

　　Re: Re: My details

　　Re: Thank you!

　　Re: That movie

　　Re: Wicked screensaver

　　Re: Your application

　　Thank you!

　　Your details

　　随机选择如下两个字符串作为邮件正文：

　　See the attached file for details

　　Please see the attached file for details.

　　随机选择如下9个字符串做附件名称：

　　your_document.pif

　　document_all.pif

　　thank_you.pif

　　your_details.pif

　　details.pif

　　document_9446.pif

　　application.pif

　　wicked_scr.scr

　　movie0045.pif

　　6、病毒会下载特定得文件到被感染计算机并执行他，作者利用这个功能盗取系统信息并使用受害者计算机作为垃圾邮件传播源。这个功能同时可以被用于病毒的升级更新，在条件符合的情况下，病毒会尝试连接作者或控制者提供的服务器列表，然后病毒会得到一个用于获取木马文件的URL连接，下载并执行它。

　　病毒使用的特定时间是：

　　UTC时间的星期六或星期天

　　UTC时间下午7：00--10：00

　　UTC时间的下午7：00--10：00

　　简单处理方案：

　　1、立即升级金山毒霸查杀；

　　2、非毒霸用户可使用专杀工具查杀

　　http://www.duba.net/download/3/25.shtml

　　3、使用金山网镖拦截木马

　　使用金山网镖高级功能禁止以下端口，避免病毒去下载木马

　　990 - 999/UDP、8998/UDP

　　(注：/后，所使用的协议）

　　使用金山网镖添加规则，监视123/UDP端口