名稱
相關資料
病毒信息:病毒名稱: Worm.Supnot.ai
中文名稱: 五毒蟲
威脅級別: 4A
病毒類型: 郵件蠕蟲、漏洞蠕蟲、黑客、後門
病毒類型: 木馬
受影響系統:Win9x/WinNT/Win2K/WinXP/Win2003
破壞方式:
A、病毒利用郵件、DCOM RPC漏洞、區域網路進行瘋狂傳播,導致網路癱瘓等現象
B、開後門,等待黑客連線,造成泄密等損失
C、採用捆綁式感染系統中的EXE檔案,損壞系統
D、將自身偽裝成流行軟體的新版本或者新軟體的破解補丁等,誘使用戶雙擊運
E、利用QQ散布帶網址信息的訊息,誘使用戶下載病毒
F、盜取網路中的密碼,送到病毒作者指定的信箱
發作條件:
運行後會通過郵件傳播,將自己作為郵件的附屬檔案.也會通過拷貝自身到網路共享可寫目錄傳播.另外
它還會對區域網路的機器進行弱密碼攻擊,成功後也會拷貝自身到被攻擊機器並執行。
發作現象:
A、如果防毒軟體進程存在,則中止以下進程:
KV
KAV
Duba
NAV
kill
RavMon.exe
Rfw.exe
Gate
McAfee
Symantec
skynet
Rising
B、對網路上的計算機的管理員密碼,進行弱密碼攻擊,如果攻擊成功的話,則病毒感染這台機器。
C、搜尋郵件列表,並試圖發電子郵件,電子郵件的附屬檔案一般名為:
the hardcore game-.pif
Sex in Office.rm.scr
Deutsch BloodPatch!.exe
s3msong.MP3.pif
Me_nude.AVI.pif
How to Crack all gamez.exe
Macromedia Flash.scr
SETUP.EXE
Shakira.zip.exe
dreamweaver MX (crack).exe
StarWars2 - CloneAttack.rm.scr
Industry Giant II.exe
DSL Modem Uncapper.rar.exe
joke.pif
Britney spears nude.exe.txt.exe
I am For u.doc.exe
D、在所有目錄中搜尋後綴名為如下的的檔案
.htm .sht .php .asp .dbx .tbb .adb .wab
從中找到郵件地址,並用自己的郵件系統傳送郵件
E、搜尋c-z的硬碟,如果發現可移動設備,進行下列操作:
搜尋擴展名為exe的檔案,將原檔案擴展名改為ZMX,同時將病毒自身拷貝到此並和原檔案同名.
F、搜尋本地郵件客戶端,如:Microsoft Outlook等,並回復所有收到的郵件:
如果原信件為:
標題: 原標題
發件人: @
內容: <內容>
蠕蟲回復的郵件就為:
標題: Re: 原標題
收件人: @
內容:
'' 寫道:
====
> <原信件內容>
>
====
<發件者的郵件伺服器> 帳號自動回復:
followed by one of the following:
If you can keep your head when all about you
Are losing theirs and blaming it on you;
If you can trust yourself when all men doubt you,
But make allowance for their doubting too;
If you can wait and not be tired by waiting,
Or, being lied about,don't deal in lies,
Or, being hated, don't give way to hating,
And yet don't look too good, nor talk too wise;
... ... more look to the attachment(更多請查看附屬檔案).
> Get your FREE account now! <
附屬檔案為: (名字為下列之一)
the hardcore game-.pif
Sex in Office.rm.scr
Deutsch BloodPatch!.exe
s3msong.MP3.pif
Me_nude.AVI.pif
How to Crack all gamez.exe
Macromedia Flash.scr
SETUP.EXE
Shakira.zip.exe
dreamweaver MX (crack).exe
StarWars2 - CloneAttack.rm.scr
Industry Giant II.exe
DSL Modem Uncapper.rar.exe
joke.pif
Britney spears nude.exe.txt.exe
I am For u.doc.exe
H,在下列目錄中搜尋擴展名為.txt, .pl, .wab, .adb, .tbb, .dbx, .asp, .php, .sht, and .htm的檔案,並在這些檔案中搜尋email地址.
%Windir%\Local Settings
\Documents and Settings\\local settings
Temporary Internet Files
21,通過自己的smtp引擎向搜尋到的email地址發信,特徵為:
發件人: 隨機字元
標題:下列之一
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
內容: 下列之一
pass
Mail failed. For further assistance, please contact!
The message contains Unicode characters and has been sent as a binary attachment.
It's the long-awaited film version of the Broadway hit. The message sent as a binary attachment.
附屬檔案: (下列之一)
document
readme
doc
text
file
data
test
message
body
擴展名:
.bat
.exe
.scr
.pif
G、將%Windir%\Media設定為已分享資料夾,名字為Media
H、會監視用戶密碼,並將監視到的結果保存到
%System%/win32add.sys
%System%/win32pwd.sys
格式如下
ftp://用戶名1:密碼1@IP1/
ftp://用戶名2:密碼2@IP2/
I、病毒如果發現QQ的“傳送”按鈕,則會自動傳送如下信息之一:
你那瓜子形的形,那么白淨,彎彎的一雙眉毛,那么修長;水汪汪的一對眼睛,那么明亮!
你是花叢中的蝴蝶,是百合花中的蓓蕾。無論什麼衣服穿到你的身上,總是那么端莊、好看。 在風吹乾你的散發時,我簡直著魔了:在閃閃發光的披肩柔發中,在淡淡入鬢的蛾眉問,在碧水漓漓的眼睛裡……你竟是如此美麗可人!
你是一尊象牙雕刻的女神,大方、端莊、溫柔、姻靜,無一不使男人深深崇拜。 你其有點像天上的月亮,也像那閃爍的星星,可惜我不是詩人,否則,當寫一萬首詩來形容你的美麗。 春花秋月,是詩人們歌頌的情景,可是我對於它,卻感到十分平凡。只有你嵌著梨渦的笑容,才是我眼中最美的偶象。
你笑起來的樣子最為動人,兩片薄薄的嘴唇在笑,長長的眼睛在笑,腮上兩個陷得很舉動的酒窩也在笑. 你蹦蹦跳跳地走進來,一件紅尼大衣,緊束著腰帶,顯得那么輕盈,那么矯健,簡直就像天邊飄來一朵紅雲。
遠遠地,我目送你的背影,你那用一束大紅色綢帶扎在腦後的黑髮,宛如幽靜的月夜裡從山澗中傾瀉下來的一壁瀑布。
其實,我最先認識你是在照片上。照片上的你托腮凝眸,若有所思。那份溫柔、那份美感、那份嫵媚,使我久久難以忘懷
你是那樣地美,美得象一首抒情詩。你全身充溢著少女的純情和青春的風采。留給我印象最深的是你那雙湖水般清澈的眸子,以及長長的、一閃一閃的睫毛。像是探詢,像是關切,像是問候。
後面跟上“ 這是你需要的東西: 下載地址1 下載地址2
如:其實,我最先認識你是在照片上。照片上的你托腮凝眸,若有所思。那份溫柔、那份美感、那份嫵媚,使我久久難以忘懷。這是你需要的東西:
下載地址1
下載地址2
下載內容為病毒檔案。連結為 病毒檔案,用戶運行後即會中毒(圖)
技術特點:
A、木馬運行後會將自身複製到系統目錄下:
%SystemRoot%\SYSTRA.EXE
%System%\hxdef.exe
%System%\IEXPLORE.EXE
%System%\RAVMOND.exe
%System%\realsched.exe
%System%\vptray.exe
%System%\kernel66.dll
在系統安裝目錄中生成
%System%\ODBC16.dll
%System%\msjdbc11.dll
%System%\MSSIGN30.DLL
%System%\LMMIB20.DLL
%System%\NetMeeting.exe
%System%\spollsv.exe
%system%\internet.exe
%System%\svch0st.exe
在每個盤符下生成如下兩個檔案
AUTORUN.INF
command.exe
使用戶一雙擊盤符即會中毒
B、在註冊表主鍵:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下添加如下鍵值:
"WinHelp"="%SYSTEM%"\realsched.exe"
"Hardware Profile" ="%SYSTEM%"\hxdef.exe"
"Mircorsoft NetMeeting Associates, Inc."="NetMeeting.exe"
"Program In Windows"="%system%\IEXPLORE.EXE"
"VFW Encoder/Decoder Settings"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
"Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
"Shell Extension"="%system%\spollsv.exe"
"Network Associates, Inc."="internet.exe"
"S0undMan"="svch0st.exe"
在註冊表主鍵
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\runServices
下添加如下鍵值:
"SystemTra"="%Windor%\SysTra.EXE"
對於win98/me系統 會對%system%\win.ini檔案內添加如下內容:
run=%System%\RAVMOND.exe
C、會創建一個名為 "Windows Management Protocol v.0 (experimental)"和"_reg"的兩個服務,服務對應的病毒檔案為msjdbc11.dll 和ondll_server。
D、隨機開啟一個連線埠,作為後門。
E、收集系統信息,存為C:\NETLOG.TXT,每行均以NETDI做為開頭
F、複製自身到所有已分享資料夾中,檔案名稱可能是以下之一:
WinRAR.exe
Internet Explorer.bat
Documents and Settings.txt.exe
Microsoft office.exe
Windows Media Player.zip.exe
Support Tools.exe
WindowsUpdate.pif
Cain.pif
MSDN.ZIP.pif
autoexec.bat
findpass.exe
client.exe
i386.exe
winhlp32.exe
xcopy.exe
mmc.exe
G、會釋放一個名為suchost.exe檔案用於將病毒體和EXE檔案進行捆綁。互斥量為:I090909!
解決方案:
A、 請使用金山毒霸2004年7月14日的病毒庫可完全處理該病毒。
B、查殺完病毒後,請注意打上最新的系統補丁,特別是衝擊波、震盪波的補丁
C、修改弱密碼,強烈建議致少使用4個字母和4個數字的組合密碼
D、養成良好習慣,不輕易打開即時通訊工具傳來的網址,不打有附屬檔案的郵件
E、打開金山網鏢和金山毒霸病毒防火牆,防止病毒進入系統。
