猖獗的大无极变种F病毒

数码时尚

Pre.Tender

　　今年夏末，似乎注定又要上演一场群“毒”乱舞的大戏，世界上从来没有出现过爆发时间如此集中、传播范围如此之广的病毒“集体行动”。从“冲击波”到“冲击波杀手”，人们还没有从冲击波及其变种带来的灾难中缓过神来，“大无极”(Worm.Sobig)病毒又故伎重演，利用人们的好奇心理，隐藏在邮件附件中大肆传播。

　　危害

　　这一次来袭的“大无极变种F”(Worm.Sobig.F)病毒是“大无极”(Worm.Sobig)病毒的第六个变种，也是它的最新变种。它与“大无极”病毒以前的变种一样，通过电子邮件和网络文件共享系统，在使用Windows操作系统的个人电脑中传播。

　　可怕的是，该病毒会使成千上万的企业局域网、Internet服务供应商(ISP)面临邮件服务器被阻塞、网络瘫痪的威胁，从而造成巨大的经济损失。此外，它还会在有邮件过滤或其他措施保护的条件下，增加系统被病毒感染的机会。因为任何企业在承受如此巨大的邮件负荷情况下，原来的防病毒软件、邮件过滤等保护措施都可能因无法保持同样的速度而失效。

　　传播原理

　　该病毒运行时会将自己拷贝到系统目录下并命名为“Winppr32.exe”，然后修改注册表并自行重启。随后病毒会将自身拷贝到所有网络共享计算机的启动目录中，当网络中的其他计算机重启时，就会中毒。同时，该病毒会在网络中搜索扩展名为txt、eml、html、htm、dbx、wab的文件，并在其中寻找有效的邮件地址，找到后该病毒会给这些地址发送一封病毒邮件，而邮件附件中包含了大量pif和scr文件。当打开pif或scr类型的附件文件后，“大无极变种F”病毒就会感染用户的计算机，并向地址簿中的随机地址发送它自己的拷贝，不断扩大染毒范围。

　　受该病毒影响的操作系统包括Windows 9X/Me/2000/NT/XP等。

　　被利用的计算机的端口地址为UDP 123、8998、995～999等端口。

　　染毒症状

　　“大无极变种F”会使电子邮箱中充斥着主题为“Re: Details”(回复：您的详细资料)和“Re: Wicked screensaver”(回复：不错的屏幕保护)等的邮件，邮件附件中包含了大量pif和scr文件。

　　操作系统是Win 95\98\Me\XP，病毒会在C:\Windows目录下产生Winppr32.exe文件；如果操作系统是Windows NT\2000，病毒会在C:\WinNT目录下产生Winppr32.exe的文件。

　　应对措施

　　1.关闭UDP的995～999，8998端口，监视UDP的123的NTP请求(该病毒利用该端口来获得有用信息)。

　　2.瑞星网站上已经推出该病毒的专杀工具，下载地址为http://it.rising.com.cn/service/technology/sobig_download.htm；或采用瑞星提供的免费在线查毒，网址为http://online.rising.com.cn/ravonline/ravsoft/tav.asp。

　　3.江民杀毒软件KV2004也可防杀该病毒，使用该软件的朋友可以将软件升级到最新版，进行查杀。

　　大家可以使用大多数杀毒软件都有的邮件监控功能，直接在客户端过滤“大无极变种F”的病毒邮件。同时，建议大家不要随意打开来历不明的信件，最大程度地减少与病毒的接触。

　　最后再提醒大家一下，“大无极”病毒的制造者有可能不会在编写完“大无极变种F”病毒之后就罢手。因此，新的“大无极”病毒变种将会很快出现，大家一定要加倍小心！