“大无极变种”(Worm.sobig.b)病毒档案
警惕程度:★★★★
发作时间:随机
病毒类型:蠕虫病毒
传播方式:网络/邮件/局域网
感染对象:局域网
病毒介绍:
该病毒于5月18日起开始在全球泛滥,5月19日登陆我国,它运行时会复制自己到系统目录中,修改注册表进行自启动,同时向外发送大量病毒邮件,占用系统资源。
该病毒除了通过邮件、局域网进行快速传播以外,它还会在后台连接病毒指定的四个网站,在这四个网站上下载病毒文件并运行,这样以来,大大增加了该病毒的扩展性。如果病毒作者将该病毒的更新版本放入网站,那么被感染计算机上的病毒就会不定时地升级自身,完成新的变形,使反病毒软件无法查出;如果病毒作者直接将一些木马病毒放入这些网站,则被感染计算机上的病毒就会成为这些病毒的帮凶,因此,该病毒对企事业单位有更大的危害性。
病毒的发现与清除:
此病毒会有如下特征,如果用户发现计算机中有这些特征,则很有可能中了此病毒:
1. 病毒运行时会将自身复制到系统目录下,命名为:msccn32.exe。
2. 病毒会修改注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRun启动项中添加键值System Tray,该键值的内容是病毒的文件路径,这样在下一次启动计算机时,病毒会自动运行。
3. 病毒会遍历局域网,并尝试把自己复制到其它计算机的WindowsAll UsersStart MenuProgramsStartUp及Documents and SettingsAll UsersStart MenuProgramsStartup,用户可以查看这些目录。
4. 病毒会搜索硬盘上的所有*.web,*.txt,*.dbx,*.htm,*.html及*.eml的文件,从中提取出email地址,然后向这些地址发送含病毒的邮件。该病毒邮件有以下标题:Your details、Approved (Ref: 38446-263)、Re: Approved (Ref: 3394-65467)、Your password、Re: My details、Screensaver Cool screensaver、Re: Movie、Re: My application。
用户如果在自己的计算机中发现以上全部或部分现象,则很有可能中了“大无极变种” (Worm.Sobig.b)病毒。用户可以手工删除以上提到的病毒文件和注册表键值,但如果要想完全清除该病毒造成的影响,最好还是选用杀毒软件进行清除。用瑞星杀毒软件2003版、下载版、在线杀毒的最新版本均可以彻底清除此病毒。
为避免用户遭受损失,瑞星公司已于截获此病毒当晚就进行了紧急升级,瑞星杀毒软件2003版、瑞星在线杀毒、瑞星杀毒软件“下载版”,这三款产品本周将同步升级至15.36.01,望广大用户及时升级。目前瑞星用户只需及时升级手中的软件即可彻底拦截“大无极”(Worm.Sobig)病毒。
如遇到异常情况,可随时拨打瑞星反病毒急救电话:010-82678800或登陆瑞星反病毒网http://www.rising.com.cn,瑞星反病毒专家将为您提供全方位的技术支持与服务!