“老板公司” 最新变种(Worm_Sobig.F)正在传播
 
    国家计算机病毒应急处理中心通过对互联网的监测,于2003年8月19日发现一个通过电子邮件传播的蠕虫病毒,经分析证实该蠕虫病毒是“老板公司”的又一个变种Worm_Sobig.F,并且该已经在我国传播开来。我们已经接到用户的电话求助,应急邮箱中也收到了被感染用户的计算机自动发送的病毒邮件。
  
    该病毒分析报告如下:
 
病毒名称:“老板公司”变种(Worm_Sobig.F)
病毒类型: 蠕虫
病毒长度: 72,259字节,约71k
感染系统: Windows 95\98\NT\2000\ME\XP
病毒介绍:
  
    病毒使用自带的SMTP引擎发送电子邮件,当用户打开病毒邮件带有的.pif或.scr类型的附件文件后,病毒就会感染用户的计算机,在以下扩展名的文件中搜索电子邮件地址
         dbx 文件(微软OUTLOOK邮件系统保存文件类型)
         eml 文件(通用邮件文件扩展名称)
         hlp 文件(帮助文件)
         htm 文件、html文件(网页文件)
         mht 文件(网页文件)
         wab 文件(微软地址薄文件)
         txt 文件(纯文本文件)
并将自身的拷贝,即病毒邮件发送给这些邮件地址。病毒还可以通过局域网进行传播。邮件形式如下:
发件人:
    病毒从被感染机器中搜索,获取邮件地址作为发件人地址,从而使得发送的邮件看上去是从其他人发送的,掩盖真实的发送地址。如果没有从被感染计算机中搜索到可用的用件地址,病毒将使用admin@internet.com作为发件人
主题:(为下列之一)
    Re: Thank you! Thank you!
    Re: Details
    Re: My details
    Re: Approved
    Re: Your application
    Re: Wicked screensaver
    Re: That movie
内容:(为以下二者之一)
See the attached file for details.
Please see the attached file for details.
附件:(为下列之一)
application.pif
details.pif
 document_9446.pif
 document_all.pif
 movie0045.pif
 thank_you.pif
 wicked_scr.scr
your_document.pif
 your_details.pif
    病毒运行后,在Windows文件夹下生成自身拷贝,并命名为winppr32.exe,同时创建注册表键值,以便在系统启动时,病毒能随系统启动而运行。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "TrayX" = %Windows%\winppr32.exe /sinc HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "TrayX" = %Windows%\winppr32.exe /sinc (%Windows%为Windows文件夹,通常默认安装的路径为C:\Windows 或 C:\WINNT),病毒还在Windows目录下生成文件winstt32.dat
    另外,与“老板公司”的其他两个变种Worm_Sobig.C和Worm_Sobig.E相类似,病毒在传播时间上给自身做了限制,当系统日期为2003年9月10之后,蠕虫的传播机制将自动失效。

清除该病毒的相关操作

1、终止病毒进程 在Windows 9x/ME系统,同时按下CTRL+ALT+DELETE 在Windows  NT/2000/XP系统中,同时按下CTRL+SHIFT+ESC 选择“任务管理器——〉进程”,选中正在运行的病毒进程,并终止其运行。
2、注册表的恢复 点击“开始——〉运行”,输入regedit,运行注册表编辑器,依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ,并删除面板右侧的"TrayX" = %Windows%\winppr32.exe /sinc。 再依次双击左侧的 HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run ,找到并删除面板右侧的"TrayX" = %Windows%\winppr32.exe /sinc
 3、删除病毒文件 点击“开始——〉查找——〉文件和文件夹”,查找“winppr32.exe”、“winstt32.dat”,并将找到的文件删除。
 4、运行杀毒软件对系统进行全面的病毒查杀
    目前,国家计算机病毒应急处理中心提醒广大用户升级杀毒软件,启动实时监控功能,留意病毒邮件的特征,收到此类邮件千万不要打开附件,应立即删除。
  


 国家计算机病毒应急处理中心
 计算机病毒防治产品检验中心
     址:Http://www.antivirus-China.org.cn
 电  话:022-66211488/66211489/66211490 
 传  真:022-66211487 
 电子邮件:security@tj.cnuninet.net