中新網1月14日電 來自江民快速反病毒小組的最新消息,一種名為“好大”(I-Worm/Sobig)的網絡蠕蟲病毒,被率先成功截獲。江民公司已在第一時間拿出了針對該病毒的解決方案,并及時升級更新了病毒庫。該病毒可感染的有效系統為當前流行的所有windows操作平臺,目前該病毒正通過郵件進行大規模發送傳播。
反病毒專家介紹,該病毒采用MSVC編寫,長度是65536字節,能通過郵件和局域網來傳播,病毒傳播發送的郵件地址是通過讀取指定的可能含有EMAIL地址的文件內容來獲得的,可感染局域網里的所有機器,造成局域網癱瘓。此病毒的郵件發送地址為big@boss.com,病毒郵件的接收者的地址是從以下的文件中搜索到的:WAB、DBX、HTM、HTML、EML、TXT ,可以說覆蓋了能存有EMAIL地址的所有文件。
郵件的主題是四選一:
Re: Movies (回復:電影)Re: Sample (回復:樣本)Re: Document (回復:文檔)Re: Here is that sample (回復:這里是一個樣本)
郵件的附件是pif擴展名稱的,大小都是65536字節,附件的文件名稱也是四選一:Movie_0074.mpeg Document003 Untitled1 Sample
該網絡蠕蟲可以搜索所有的局域網的共享目錄,并將自身拷貝到共享目錄的如下目錄,使得當共享的機器重新啟動時自動感染。拷貝的共享機器的目錄為:\%WINDOWS%\ALL USERS\STARTMENU\PROGRAMS\STARTUP,XP等系統下是:\DOCUMENTS AND SETTINGS\ALL USERS\START MENU\PROGRAMS\STARTUP。
電腦在感染上此病毒后,在WINDOWS的目錄下存在大小為65536字節的可執行文件WINMGM32.EXE以及兩個DAT文件sntmls.dat,dwn.dat.兩個dat文件記錄了該病毒傳播感染的一些信息。當該網絡蠕蟲病毒被執行后,在WINDOWS的目錄下以文件winmgm32.exe的文件存在,同時修改系統的注冊表項,使得系統每次啟動時,該網絡蠕蟲都被自動運行。修改的系統注冊表包括:KEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run增加的鍵值是:"WindowsMGM",數值是:%WINDOWS%winmgm32.exe
江民提醒用戶,KV江民殺毒王2003已經全面上市,請KV系列的老用戶及時升級到KV江民殺毒王2003。對于該病毒只需及時升級更新KV江民殺毒王2003病毒庫,將六套實時監控系統中的“郵件監視、文件監視和注冊表監視”三套防范系統,就可阻止該病毒的入侵,同時KV江民殺毒王2003的內存監視功能,可以從內存中清除該網絡蠕蟲。