发现： 2003 年 8 月 18 日

更新： 2007 年 2 月 13 日 12:09:49 PM

别名： Sobig.F [F-Secure], W32/Sobig.f@MM [McAfee], WORM SOBIG.F [Trend], W32/Sobig-F [Sophos], Win32.Sobig.F [CA], I-Worm.Sobig.f [KAV]

类型: Worm

感染长度： about 72,000 bytes

受感染的系统： Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP

由于客户提交数量的减少，以及病毒进入失效期，Symantec 安全回响中心在 2003 年 9 月 15 日将该威胁从类别 4 降级到类别 2。

W32.Sobig.F@mm 是具有网路意识的群发邮件蠕虫，它将自身传送到在具有以下扩展名的档案中找到的所有电子邮件地址：

* .dbx

* .eml

* .hlp

* .htm

* .html

* .mht

* .wab

* .txt

电子邮件例程详细信息

所传送的电子邮件具有下列特徵：

发件人：虚假地址（即“发件人”栏位中的发件人极有可能不是真正的发件人）。蠕虫可能会将地址 admin@internet . com 作为发件人。

注意：

o 虚假地址和收件人地址都是从在计算机上找到的档案中提取出来的。另外，蠕虫可能使用受感染计算机上的设定来检查可以联繫的 SMTP 伺服器。

o 选择 interne t . com 域看起来是任意的，与实际的域或其父公司并无任何关係。

主题：

* Re: Details

* Re: Approved

* Re: Re: My details

* Re: Thank you!

* Re: That movie

* Re: Wicked screensaver

* Re: Your application

* Thank you!

* Your details

正文：

* See the attached file for details

* Please see the attached file for details.

附属档案：

* application.zip (contains application.pif)

* details.zip (contains details.pif)

* document_9446.zip (contains document_9446.pif)

* document_all.zip (contains document_all.pif)

* movie0045.zip (contains movie0045.pif)

* thank_you.zip (contains thank_you.pif)

* your_details.zip (contains your_details.pif)

* your_document.zip (contains your_document.pif)

* wicked_scr.zip (contains wicked_scr.scr)

注意：

* 蠕虫将在 2003 年 9 月 10 日停止活动，因此蠕虫进行传播的最后一天为 2003 年 9 月 9 日。

赛门铁克安全回响中心已经创建了用来杀除 W32.Sobig.F@mm 的工具。单击此处可获取该工具。

由于电子邮件欺骗的本质，会向无效的电子邮件地址传送病毒通知，因此产生大量无关的通信。缓解此问题的一个解决方法是，禁止基于网关和伺服器的邮件产品传送的病毒通知邮件。

* 病毒定义（每周 LiveUpdate™） 2003 年 8 月 19 日

* 病毒定义（智慧型更新程式） 2003 年 8 月 19 日

* 广度级别： Low

* 感染数量： More than 1000

* 站点数量： More than 10

* 地理位置分布： High

* 威胁抑制： Easy

* 清除： Moderate

* 损坏级别： Medium

* 大规模传送电子邮件： Sends email to addresses collected from files with the following extensions: .wab, .dbx, .htm, .html, .eml, .txt.

* 泄露机密信息： May steal system information, including passwords.

* 分发级别： High

* 电子邮件的主题： Varies

* 附属档案名称： Varies with .pif or .scr file extension

* 附属档案大小： About 72,000 bytes

* 连线埠： UDP 123, 8998

执行 W32.Sobig.F@mm 时，该蠕虫会执行下列操作：

1. 将自身複製为 %Windir%\winppr32.exe。

注意：%Windir% 是一个变数。蠕虫会找到 Windows 安装资料夹（默认为 C:\Windows 或 C:\Winnt），然后将自身複製到其中。

2. 创建下列档案：

%Windir%\winsst32.dat

3. 将值：

"TrayX"="%Windir%\winppr32.exe /sinc"

添加到注册表键：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

这样蠕虫便可在 Windows 启动时运行。

4. 试图将其自身複製任何有权利进入的网路共享。蠕虫通过标準 Windows API 达到上述目的。

Sobig.F 能够将任意档案下载到感染的计算机并将其执行。 蠕虫作者使用此功能来盗取系统机密信息并在受感染计算机上建立垃圾邮件中转伺服器。

该功能也可被蠕虫用于自我更新。 在合适的时机，Sobig.F 会尝试联繫几台由蠕虫作者控制的主伺服器，蠕虫在拿到一个 URL 后用它找到特洛伊木马程式，并将其下载到本地计算机后执行。

对于 Sobig.F，这个合适的时机是指：

* 格林威治时间（格林威治时间加 8 小时换算成台北时间）的星期一或星期五

* 格林威治时间的晚 7 点到 晚 11:59:59

Sobig.F 通过联繫几台伺服器的 123/UDP 埠 (NTP 埠) 来获取 UTP (网路时间协定) 以查知格林威治时间。

蠕虫向主伺服器的 8998/udp 埠传送探测包，主伺服器随后发还一个 URL，蠕虫就到这个 URL 下载特洛伊木马程式。

Sobit.E 还会打开下列埠：

* 995/udp

* 996/udp

* 997/udp

* 998/udp

* 999/udp

并在这些埠上监测传入的 UDP 数据包。 传入的数据会被解析，在收到到具有某特定签名的数据包后，蠕虫的主伺服器清单会被更新。

建议网路管理员执行下面的操作：

* 停止 8898/udp 埠的出站通讯。

* 监视 123/udp 埠的可能来自于感染计算机的 NTP 请求。 对感染计算机检查需应每小时进行一次。

电子邮件欺骗

W32.Sobig.F@mm 使用称为“欺骗”的技术，随机选择一个它在受感染计算机上找到的地址，然后在执行其群发邮件例程时将此地址用作“发件人”地址。已经报告过大量这样的例子，即，未受感染的计算机的用户被抱怨向他人传送受感染的邮件。

例如，Linda Anderson 正在使用感染了 W32.Sobig.F@mm 的计算机。Linda 既未使用防病毒程式也没有最新的病毒定义。W32.Sobig.F@mm 执行其电子邮件例程时，找到 Harold Logan 的电子邮件地址。该蠕虫将 Harold 的电子邮件地址插入受感染邮件的“发件人”部分，然后将该邮件传送给 Janet Bishop。之后，Janet 与 Harold 联繫，抱怨他向她传送了受感染的邮件，但当 Harold 扫描他的计算机时，Norton AntiVirus 并未发现任何问题，因为他的计算机并未受到感染。

Symantec Host IDS

2003 年 8 月 21 日，Symantec 发布了 Symantec Host IDS 4.1 的更新。

Intruder Alert

2003 年 8 月 21 日，Symantec 发布了Intruder Alert 3.6 W32_SobigF_Worm Policy。

Symantec ManHunt

已经发布了 Security Update 8，以提供 W32.Sobig.F.Worm 特定的特徵。

Symantec Gateway Security

2003 年 8 月 22 日，Symantec 发布了 Symantec Gateway Security 1.0 的更新。

赛门铁克安全回响中心建议所有用户和管理员遵循以下基本安全“最佳实践”：

* 禁用并删除不需要的服务。 默认情况下，许多作业系统会安装不必要的辅助服务，如 FTP 伺服器、telnet 和 Web 伺服器。这些服务可能会成为攻击所利用的途径。 如果将这些服务删除，混合型威胁的攻击途径会大为减少，同时您的维护工作也会减少，只通过补丁程式更新即可完成。

* 如果混合型威胁攻击了一个或多个网路服务，则在套用补丁程式之前，请禁用或禁止访问这些服务。

* 始终安装最新的补丁程式，尤其是那些提供公共服务而且可以通过防火墙访问的计算机，如 HTTP、FTP、邮件和 DNS 服务（例如，所有基于 Windows 的计算机上都应该安装最新的 Service Pack）。. 另外，对于本文中、可靠的安全公告或供应商网站上公布的安全更新，也要及时套用。

* 强制执行密码策略。 複杂的密码使得受感染计算机上的密码档案难以破解。这样会在计算机被感染时防止或减轻造成的损害。

* 配置电子邮件伺服器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附属档案的邮件，这些档案常用于传播病毒。

* 迅速隔离受感染的计算机，防止其对企业造成进一步危害。 执行取证分析并使用可靠的介质恢复计算机。

* 教育员工不要打开意外收到的附属档案。 并且只在进行病毒扫描后才执行从网际网路下载的软体。如果未对某些浏览器漏洞套用补丁程式，那幺访问受感染的网站也会造成病毒感染。

赛门铁克安全回响中心已经创建了用来杀除 W32.Sobig.F@mm 的工具。这是消除此威胁的最简便方法。单击此处可获取该工具。

作为使用该防毒工具的替代方法，您可以手动消除此威胁。

以下指导适用于所有当前和最新的 Symantec 防病毒产品，包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品。

注意：如果您在网路上或一直保持与 Internet 的连线，请断开计算机与网路或 Internet 的连线。在重新连线到网路之前，请从网路中的所有计算机中消除此威胁。在计算机与网路或 Internet 重新连线之前，请禁用或用密码保护档案共享。有关指导，请参阅 Windows 文档或文档：如何配置共享 Windows 资料夹儘可能的保护网路。

重要信息：请不要跳过此步骤。尝试杀除此蠕虫之前，请断开网路连线。。

1. 禁用系统还原（Windows Me/XP）。

2. 更新病毒定义。

3. 执行下列操作之一：

* Windows 95/98/Me：以安全模式重新启动计算机。

* Windows NT/2000/XP：终止特洛伊木马进程。

4. 运行完整的系统扫描，并删除所有被检测为 W32.Sobig.F@mm 的档案。

5. 删除添加到注册表的值。

有关每个步骤的详细信息，请阅读以下指导。

1. 禁用系统还原（Windows Me/XP）

如果您运行的是 Windows Me 或 Windows XP，建议您暂时关闭“系统还原”。此功能默认情况下是启用的，一旦计算机中的档案被破坏，Windows 可使用该功能将其还原。如果病毒、蠕虫或特洛伊木马感染了计算机，则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。

Windows 禁止包括防病毒程式在内的外部程式修改系统还原。因此，防病毒程式或工具无法删除 System Restore 资料夹中的威胁。这样，系统还原就可能将受感染档案还原到计算机上，即使您已经清除了所有其他位置的受感染档案。

此外，病毒扫描可能还会检测到 System Restore 资料夹中的威胁，即使您已将该威胁删除。

有关如何关闭系统还原功能的指导，请参阅 Windows 文档或下列文章之一：

* 如何禁用或启用 Windows XP 系统还原

* 如何禁用或启用 Windows Me 系统还原

2. 更新病毒定义

Symantec 在将病毒定义发布到伺服器之前，会对所有病毒定义进行彻底测试，以确保其质量。可使用以下两种方法获取最新的病毒定义：

* 运行 LiveUpdate（这是获取病毒定义的最简便方法）：这些病毒定义被每周一次（通常在星期三）发布到 LiveUpdate 伺服器上，除非出现大规模的病毒爆发情况。要确定是否可通过 LiveUpdate 获取此威胁的定义，请参考病毒定义 (LiveUpdate)。

* 使用智慧型更新程式下载病毒定义：智慧型更新程式病毒定义会在工作日（美国时间，星期一至星期五）发布。应该从 Symantec 安全回响中心网站下载病毒定义并手动进行安装。要确定是否可通过智慧型更新程式获取此威胁的定义，请参考病毒定义（智慧型更新程式）。

现在提供智慧型更新程式病毒定义：有关详细说明，请参阅如何使用智慧型更新程式更新病毒定义档案。

3. 以安全模式重新启动计算机或终止特洛伊木马进程

Windows 95/98/Me

以安全模式重新启动计算机。除 Windows NT 外，所有的 Windows 32 位作业系统均可以安全模式重新启动。有关如何完成此操作的指导，请参阅文档：如何以安全模式启动计算机。

Windows NT/2000/XP

要终止特洛伊木马进程，请执行下列操作：

1. 按一次 Ctrl+Alt+Delete。

2. 单击“任务管理器”。

3. 单击“进程”选项卡。

4. 双击“映像名称”列标题，按字母顺序对进程排序。

5. 滚动列表并查找 Winppr32.exe。

6. 如果找到该档案，则单击此档案，然后单击“结束进程”。

7. 退出“任务管理器”。

4. 扫描和删除受感染档案

1. 启动 Symantec 防病毒程式，并确保已将其配置为扫描所有档案。

* Norton AntiVirus 单机版产品：请阅读文档：如何配置 Norton AntiVirus 以扫描所有档案。

* 赛门铁克企业版防病毒产品：请阅读 如何确定 Symantec 企业版防病毒产品被设定为扫描所有档案。

2. 运行完整的系统扫描。

3. 如果有任何档案被检测为感染了 W32.Sobig.F@mm，请单击“删除”。

5. 删除对注册表所做的更改

警告：赛门铁克强烈建议在进行任何更改前先备份注册表。错误地更改注册表可能导致数据永久丢失或档案损坏。应只修改指定的键。有关指导，请参阅文档：如何备份 Windows 注册表。

1. 单击“开始”，然后单击“运行”。（将出现“运行”对话框。）

2. 输入 regedit 然后单击“确定”。（将打开注册表编辑器。）

3. 导航至以下键：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

4. 在右窗格中，删除值：

"TrayX"="%Windir%\winppr32.exe /sinc"

5. 退出注册表编辑器。

描述者： Benjamin Nahorney