“五毒蟲”變種AH(Worm.Supnot.ah)

五毒蟲, Worm.Supnot.ah,是電腦病毒的一種,屬於木馬病毒,利用郵件蠕蟲、漏洞蠕蟲、黑客、後門等攻擊電腦。受影響的程式是Win9x/WinNT/Win2K/WinXP/Win2003。查殺辦法可以利用防毒軟體等。

名稱

“五毒蟲”變種AH(Worm.Supnot.ah)

相關資料

病毒信息:
病毒名稱: Worm.Supnot.ah
中文名稱: 五毒蟲
脅級別: 3B
毒類型: 郵件蠕蟲、漏洞蠕蟲黑客、後門
毒類型: 木馬
受影響系統:Win9x/WinNT/Win2K/WinXP/Win2003
破壞方式:
A、病毒利用郵件、DCOM RPC漏洞、區域網路進行瘋狂傳播,導致網路癱瘓等現象
B、開後門,等待黑客連線,造成泄密等損失
C、採用捆綁式感染系統中的EXE檔案,損壞系統
發作現象:
A、如果防毒軟體進程存在,則中止以下進程:
KV
KAV
Duba
NAV
kill
RavMon.exe
Rfw.exe
Gate
McAfee
Symantec
SkyNet
Rising
B、如果防毒軟體服務存在,則中止以下服務:
Symantec AntiVirus Client
Symantec AntiVirus Server
Rising Realtime Monitor Service
C、對網路上的計算機的管理員密碼,進行弱密碼攻擊,如果攻擊成功的話,則病毒感染這台機器。
D、搜尋郵件列表,並試圖發電子郵件,電子郵件的附屬檔案一般名為:
the hardcore game-.pif
Sex in Office.rm.scr
Deutsch BloodPatch!.exe
s3msong.MP3.pif
Me_nude.AVI.pif
How to Crack all gamez.exe
Macromedia Flash.scr
SETUP.EXE
Shakira.zip.exe
dreamweaver MX (crack).exe
StarWars2 - CloneAttack.rm.scr
Industry Giant II.exe
DSL Modem Uncapper.rar.exe
joke.pif
Britney spears nude.exe.txt.exe
I am For u.doc.exe
E、在所有目錄中搜尋後綴名為如下的的檔案
.txt, .pl, .wab, .adb, .tbb, .dbx, .asp, .php, .sht, and .htm
從中找到郵件地址,並用自己的郵件系統傳送郵件
技術特點:
A、病毒運行後會在系統目錄生成如下檔案:
%SystemDrive%\cdrom.com
%SystemRoot%\CDPlay.exe
%Windir%\Exploier.exe
%System%\IEXPLORE.exe
%System%\RAVMOND.exe
%System%\Update_OB.exe
%System%\TkBellExe.exe
%System%\hxdef.exe
%System%\Kernel66.dll
%System%\ODBC16.dll
%System%\msjdbc11.dll
%System%\MSSIGN30.DLL
%System%\LMMIB20.DLL
%System%\iexplorer.exe
B、在每個盤符下生成如下兩個檔案
AUTORUN.INF
CDROM.COM
使用戶一雙擊盤符即會中毒
C、向註冊表添加
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Hardware Profile"="%system%\hxdef.exe"
"Microsoft Associates, Inc."="%system%\iexplorer.exe"
"Program in Windows"="%system%\IEXPLORE.exe"
"Protected Storage"="rundll32.exe mssign30.dll ondll_reg"
"Shell Extension"="%system%\spollsv.exe"
"VFW Encoder/Decoder Settings"="rundll32.exe mssign30.dll ondll_reg"
"WinHelp"="%system%\TkBellExe.exe"
"Shell Extension"="%system%\spollsv.exe"
向註冊表添加
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
"SystemTra"="%Windor%\CDPlay.EXE"
"COM++ System"="exploier.exe"
修改註冊表
HKEY_CLASSES_ROOT\txtfile\shell\open\command
HKEY_LOCAL_MACHINE\Software\Classes\txtfile\shell\open\command
"默認"="vptray.exe %1"
向註冊表添加
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
"run"="RAVMOND.exe"
D、會創建一個名為 "Windows Management Protocol v.0 (experimental)"和"_reg"的兩個服務,服務對應的病毒檔案為msjdbc11.dll 和ondll_server。
E、隨機開啟一個連線埠,作為後門。
F、收集系統信息,存為C:\NETLOG.TXT,每行均以NETDI做為開頭,並將在區域網路中的密碼信息保存到該檔案中。
G、複製自身到所有已分享資料夾中,檔案名稱可能是以下之一:
WinRAR.exe
Internet Explorer.bat
Documents and Settings.txt.exe
Microsoft office.exe
Windows Media Player.zip.exe
Support Tools.exe
WindowsUpdate.pif
Cain.pif
MSDN.ZIP.pif
autoexec.bat
findpass.exe
client.exe
i386.exe
winhlp32.exe
xcopy.exe
mmc.exe
H、會釋放一個名為Exploier.exe檔案用於將病毒體和EXE檔案進行捆綁。互斥量為:my_10101!
I、搜尋c-z的硬碟,如果發現可移動設備或網路映射,則在此設備中搜尋擴展名為exe的檔案,將原檔案擴展名改為~ex,同時將病毒自身拷貝到此並和原檔案同名。
解決方案:
   A、 請使用金山毒霸2004年7月14日的病毒庫可完全處理該病毒。
   B、查殺完病毒後,請注意打上最新的系統補丁,特別是衝擊波、震盪波的補丁
   C、修改弱密碼,強烈建議致少使用4個字母和4個數字的組合密碼
   D、養成良好習慣,不輕易打開即時通訊工具傳來的網址,不打有附屬檔案的郵件
   E、打開金山網鏢和金山毒霸病毒防火牆,防止病毒進入系統。

相關詞條

相關搜尋

熱門詞條

聯絡我們