Worm/DOS.Sober[Email]的首个样本在2024年10月被安天捕获。它属于典型的蠕虫，不借助宿主即可独立完成自主传播的恶意代码。其自我复制的方式包括基于存储介质和网络方式。该蠕虫关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。该Worm的主要行为是Email，通过其核心行为，对目标造成数据丢失、系统崩溃、信息泄露等问题。该蠕虫变种数与样本数持平，变种并未出现大规模样本的爆发，流行度较低。目前Worm/DOS.Sober[Email]存在可执行文件至少一种格式的样本。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该蠕虫形成相同命名。
病毒行为
Sober病毒会发送恶意邮件自动感染其他用户的电子邮箱地址。
阻止用户访问杀软网站或更新杀软程序，以避免被发现及清除。
为了持续感染更多计算机，Sober病毒可能会采取欺骗用户的方式，例如伪装成重要文件或链接。
可能会通过劫持网络流量、关闭系统安全功能等方式，维持病毒的传播和活动。
Sober病毒可能引发大规模的邮件洪水攻击，导致网络拥堵和系统瘫痪。
有些变种的Sober病毒可能会修改系统配置，甚至禁用防病毒程序，以增加感染可能性。
样本格式分布
格式类别 占比 格式描述
BinExecute 100.0% 用于执行二进制文件的工具或实用程序
其他厂商命名
厂商 命名
Fortinet W32/Sober.L@mm
Microsoft Worm:Win32/Sober.G@mm
Kaspersky Email-Worm.Win32.Sober.i
ESET-NOD32 a variant of Win32/Sober
典型变种
Worm/DOS.Sober.dam[Email]
典型样本
类型 值
MD5 b86835e27cc257b484b21b479be0717a
解决方案
及时更新杀毒软件、操作系统和防火墙程序，以保护系统安全。
谨慎打开陌生邮件和附件，不轻信不明链接，防止感染病毒。
运行系统杀毒软件对计算机进行全面扫描，清除潜在的病毒威胁。
使用强密码保护邮箱账号，定期更换密码，提高账户安全性。
在工作环境中加强安全意识教育，培养员工正确使用电子邮件和识别病毒的能力。
如果系统已感染Sober病毒，立即隔离感染计算机，断开网络连接，并寻求专业安全人员帮助清除病毒。