簡介
I-Worm/Supkp.s
病毒長度:128,000 bytes
病毒類型:網路蠕蟲
危害等級:**
影響平台:Win9X/2000/XP/NT/Me
I-Worm/Supkp.s是用C++編寫並用JDPack和ASPack壓縮過的群發郵件蠕蟲,企圖傳送自身到在從感染計算機上找到的所有郵件地址。利用DCOM RPC漏洞進行傳播。郵件的發件人地址是偽造的,主題和郵件正文都是變化的。
傳播過程及特徵:
1.複製自身為:
%Windir%\Systra.exe
%System%\Hxdef.exe
%System%\iexplore.exe
%System%\RAVMOND.exe
%System%\Kernel66.dll -- 屬性為隱藏、唯讀、系統檔案。
%System%\winhelp.exe
生成檔案(蠕蟲的後門組件):
%System%\ODBC16.dll-- 53,760 bytes
%System%\Msjdbc11.dll -- 53,760 bytes
%System%\MSSIGN30.DLL -- 53,760 bytes
%System%\LMMIB20.DLL -- 53,760 bytes
生成檔案:
%System%\NetMeeting.exe -- 61,440 bytes
%System%\spollsv.exe -- 61,440 bytes
在蠕蟲執行的資料夾下可能生成下列檔案:
a
results.txt
win2k.txt
winxp.txt
2.修改註冊表:
添加下列鍵值:
"Hardware Profile"="%System%\hxdef.exe
"Microsoft NetMeeting Associates, Inc."="NetMeeting.exe"
"Program in Windows"="%System%\IEXPLORE.EXE"
"Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
"Shell Extension"="%System%\spollsv.exe"
"VFW Encoder/Decoder Settings"="RUNDLL32.exe MSSIGN30.DLL ondll_reg"
"WinHelp"="%System%\WinHelp.exe"到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run;
添加鍵值:"SystemTra"="%Windir%\Systra.exe"到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices;
添加鍵值:"run"="RAVMOND.exe"到HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows;
可能生成子鍵:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ZMXLIB1。
3.終止下列服務:
Rising Realtime Monitor Service
Symantec Antivirus Server
Symantec Client
創建服務:
"Windows Management Protocol v.0 (experimental)"-- 映射到"Rundll32.exe msjdbc11.dll ondll_server"。
"_reg"-- 映射到"Rundll32.exe msjdbc11.dll ondll_server"。
4.結束包含下列字元串的所有進程:
KVKAVDubaNAVkillRavMon.exeRfw.exe
GateMcAfeeSymantecSkyNetrising
5.在連線埠6000運行後門程式,此程式用來盜取系統信息並將其保存到C:\Netlog.txt,然後蠕蟲將盜取的信息傳送給黑客。
6.複製自身到所有的網路已分享檔案夾及其子資料夾下。
7.掃描網路內的所有計算機,企圖用內置密碼庫里的密碼獲取管理員登入許可權。一旦成功登入到遠程計算機,蠕蟲便複製自身為
\\<計算機名>\admin$\%System%\NetManager.exe 並將此檔案作為"Windows Management NetWork Service Extensions"服務開始運行。
8.病毒會在Explorer.exe或Taskmgr.exe里注入一執行緒,用來探測蠕蟲是否運行,如果沒有運行或已經被刪除,那么它會嘗試進行複製並運行。
9.在任意一個連線埠開始運行FTP服務,不需任何驗證,這樣便意味著任何人都可以訪問感染病毒的計算機。
10.在安裝目錄下創建一個共享:"%Windir%\Media"。
11.在除A和B的所有驅動器的根目錄下生成一個壓縮檔檔案,結構為: <filename>.<RAR/ZIP>
<filename>為下列之一:
WORK 、setup 、Important 、bak 、letter 、pass
此檔案包含了一個蠕蟲副本檔案,結構為 <filename>.<exe/com/pif/scr>
<filename>下列之一:
WORK 、setup 、Important 、book 、email 、PassWord
12.在除光碟機外的所有驅動器的根目錄下生成檔案Autorun.inf,並在此複製自身為Command.com,導致你一雙擊驅動器圖示蠕蟲便開始運行的後果。
13.掃描所有的驅動器里的所有.exe檔案蠕蟲將之擴展名改為.zmx,並設此檔案屬性設為隱藏和系統檔案,然後以此檔案的原始檔案名稱複製自身。
14.進入 MAPI-compliant 郵件客戶端(包括:Microsoft Outlook)信箱後會回復收件箱中的所有郵件。
15.從硬碟驅動器和唯讀驅動器下的下列類型檔案中搜尋郵件地址:.txt .htm .sht .php .asp .dbx .tbb .adb .pl
.wab;
掃描系統WAB檔案,臨時資料夾和硬碟,用以發現合法的郵件地址。利用自帶的SMTP引擎傳送自身到找到的郵件地址,郵件特徵:
發件人:隨機
主題:下列之一
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
附屬檔案:擴展名為.exe /.scr /.pif /.cmd /.bat /.zip /.rar等的檔案
