病毒名称: Worm.Sober

　　　　中文名称: 清醒

　　　　威胁级别: 3C　　

　　　　病毒类型: Worm

　　　　受影响系统: Win9x/NT/2K/XP

　　　　病毒别名:

　　　　I-Worm.Sober[AVP]

　　　　W32.Sober@mm[Symantec]

　　　　

　　　　

　　　　该蠕虫病毒会伪装成含反病毒软件的邮件，引诱户打开其附件。病毒激活后会在宿主机器上发送大量带毒邮件，大量浪费系统资源和网络资源。Sober病毒已在欧洲，尤其是英国和德国造成了巨大的影响。

　　　　

　　　　技术特征：

　　　　

　　　　1、自我复到系统目录（%system%)，病毒复本的文件名为：

　　　　

　　　　 similare.exe

　　　　 systemchk.exe

　　　　 winrea.exe

　　　　

　　　　2、添加注册表启动项，以随机启动

　　　　

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　　　 "syspath" = "%System%\drv.exe"

　　　　 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　　　 "syspath" = "%System%\drv.exe"

　　　　

　　　　3、通过邮件传播，邮件主题不定，正文为英文和德文文本，附件后缀可能为bat、com、exe、pif、scr。

　　　　

　　　　a、通常邮件主题和内容为“该邮件的附件为"Sobig-Worm"(“巨无霸”Worm.Sobig）病毒的清除工具”，以引诱用户打开其附件；

　　　　

　　　　 例如：

　　　　 Subject: New Sobig-Worm variation (please read)

　　　　

　　　　 Body text: New Sobig variation in the net.

　　　　 You must change any settings before the worm control your computer!

　　　　 But, read the official statement from Norton Anti Virus!

　　　　

　　　　 File attachment: NAV.pif

　　　　

　　　　 b、染毒的邮件通常带有如下签名：

　　　　 Automatic Mail notification: Robot-System__#

　　　　

　　　　 c、病毒搜索后缀为“htt、rtf、doc、xls、ini、mdb、txt、htm、html、wab、pst、fdb、cfg、ldb、eml、abc、ldif、nab、adp、mdw、mda、mde、ade、sln、dsw、dsp、vap、php、asp、shtml、shtm”文件中的邮件地址，并发送带毒文件给他们。

　　　　

　　　　解决方案:

　　　　

　　　　 如果您的系统突然速度下降，或是在打开某一程序时，弹出下图中的对话框，则您的系统有可能中了“清醒”蠕虫病毒了，请采用以下方法查杀：

　　1、请升级您的金山毒霸到10月30日的版本，既可完全查杀该病毒；

　　　　 2、请不要相信以任何名义来发送反病毒工具的邮件，此次特别是针对“巨无霸”(Worm.Sobig）病毒的工具；

　　　　 3、手工清除方法：

　　对于WIN9X用户可以在纯DOS模式下删除以下病毒文件：

　　　　 %system%\similare.exe

　　　　 %system%\systemchk.exe

　　　　 %system%\winrea.exe

　　　　

　　　　 对于Win2000/WinXP用户，请使用进程管理器结束名为：“similare.exe、systemchk.exe、winrea.exe”的进程，然后删除以下文件：

　　　　

　　　　 %system%\similare.exe

　　　　 %system%\systemchk.exe

　　　　 %system%\winrea.exe

　　　　

　　　　 删除病毒在注册表中添加的启动项目：

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　　　 "syspath" = "%System%\drv.exe"

　　　　 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　　　 "syspath" = "%System%\drv.exe"

　　　　

　　　　专家提醒：

　　　　

　　　　 1、请及时升级您的毒霸到最新。因为病毒随时在产生，金山毒霸的病毒库也会随时升级中，请多关注金山毒霸安全咨询网（duba.net)上的最新病毒公告，或者订阅金山毒霸的“病毒短信”，为您提供最新最快的病毒信息和毒霸的升级信息；

　　　　

　　　　 2、打开网络和病毒防火墙，为您的系统打上微软的最新补丁。杀病毒不如防病毒，只要防止住病毒进入的通道，就可彻底免除病毒带来的危害；

　　　　

　　　　 3、不随意打开陌生人的邮件。当今的病毒不再只是通过计算机来传播，病毒制作者会利用人们好奇的心理来骗取自己激活的机会，如前段时间的“911”蠕虫病毒，就是利用人们对“911”事件的关注心态，来骗取用户打开邮件，从而使用病毒获得激活进会。大量的木马和黑客程序都会以这种方式来获得运行权；

　　　　

　　　　 4、掌握一些相关的系统操作知识，这样可以方便、及时的发现新病毒。