病毒名称：Win32.Sobig.D
　　别名：W32/Sobig.d@MM (McAfee), Win32/Sobig.D.Worm
　　疯狂度：低
　　种类：Win32
　　破坏性：中
　　类型：蠕虫
　　普及度：高
 
　　特性

　　Win32.Sobig.D是一种通过电子邮件传播的蠕虫病毒，它使用自带的SMTP引擎发送邮件，并且也通过共享驱动器传播。

    传播蠕虫的邮件使用下列主题：

　　Re: Accepted
　　Re: App. 00347545-002
　　Application Ref: 456003
　　Re: Application
　　Your Application
　　Re: Documents
　　Re: Movies
　　Re: Screensaver
　　Re: Your Application (Ref: 003844)

　　附件名称可能是下面列表中的一个：

　　Document.pif
　　app003475.pif
　　movies.pif
　　ref_465.pif
　　Application844.pif
　　Screensaver.scr
　　Accepted.pif
　　Applications.pif

　　邮件的正文非常简单：

　　See the attached file for details.

    　蠕虫会伪造发件人地址，让邮件看起来发自不同的地方。

　　运行时，蠕虫会拷贝自己的副本到：%Windows%\cftrbb32.exe

　　蠕虫也修改下面这两个注册表键值，以便每次Windows启动这份拷贝就会自动运行：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\System MScv="%windows%\cftrb32.exe"
　　HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\System MScv="%windows%\cftrb32.exe"

　　注意：只有当这些注册表键值存在时，蠕虫才会修改它。所以，第2个键值在Windows98上不会存在，因为下面这个键值并不存在：

　　HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　蠕虫会搜索有下面这些扩展名的文件，以便向这些文件中的邮件地址发送带毒邮件。

　　txt
　　eml
　　html
　　htm
　　dbx
　　wab

　　蠕虫也尝试拷贝自己的副本到下面这两个目录，从而通过Windows的远程共享传播：

　　Documents and Settings\All Users\Start Menu\Programs\Startup
　　Windows\All Users\Start Menu\Programs\StartUp

　　因为蠕虫会搜索所有的共享资源，所以它会尝试将自己复制到网络中的打印机上，这可能造成打印机自动向外打印垃圾信息。

　　病毒的检测/清除

　　KILL安全胄甲 inoculateIT v23.61.53 vet 10.5/4701 版及kill 98/2000 v43.53可检测/清除此病毒。