影響範圍
受影響系統:
Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000,Windows XP,Windows Server 2003
病毒變種:Worm.Supnot.
Worm.Supnot.
Worm.Supnot.
Worm.Supnot.
Worm.Supnot.
Worm.Supnot.
Worm.Supnot.
Worm.Supnot.
★ 目前該病毒中危害級別最高的 Worm.Supnot./Worm.Supnot.aj 兩個變種 。
病毒狀況
該病毒不僅可以中止各類防毒軟體進程,而且還可通過郵件大量傳播,使更多用戶受到感染。它可對系統造成更加嚴重威脅,不僅可打開系統後門讓黑客更容易連結到用戶計算機,攔截IE、QQ,網路遊戲等應用程式,造成信息泄密。
該病毒作者利用了多種重大病毒原始碼進行編寫,它已經幾乎具有了所有的病毒破壞方式:結束防毒軟體進程、郵件瘋狂傳播、QQ引誘訊息傳播、據有“木馬”性質來盜取網路遊戲賬號等各種應用程式的密碼、對網路造成嚴重堵塞。
另外,“五毒蟲”病毒還會利用QQ傳送帶網址的訊息,欺騙用戶下載此病毒。
該病毒也利用了郵件進行傳播,並會傳送大量的垃圾郵件。帶毒郵件的附屬檔案名如下,請用戶一定要小心,不要上當中招 。
技術細節
以下為該病毒的行為:
A、病毒運行後會將自身複製到系統目錄下:
%SystemRoot% SYSTRA.EXE
%System% hxdef.exe
%System% IEXPLORE.EXE
%System% RAVMOND.exe
%System%
ealsched.exe
%System% vptray.exe
%System% kernel66.dll
B、在系統安裝目錄中生成
%System% ODBC16.dll
%System% msjdbc11.dll
%System% MSSIGN30.DLL
%System% LMMIB20.DLL
%System% NetMeeting.exe
%Windir% suchost.exe
%System% spollsv.exe
在每個盤符下生成如下兩個檔案
AUTORUN.INF
COMMAND.EXE
使用戶一雙擊盤符即會中毒
C、在註冊表主鍵:
HKEY_CURRENT_USER SOFTWARE Microsoft Windows CurrentVersion Run
下添加如下鍵值:
WinHelp = %SYSTEM%
ealsched.exe
Hardware Profile = %SYSTEM% hxdef.exe
Mircorsoft NetMeeting Associates, Inc. = NetMeeting.exe
Program In Windows = %system% IEXPLORE.EXE
VFW Encoder/Decoder Settings = RUNDLL32.EXE MSSIGN30.DLL ondll_reg
Protected Storage = RUNDLL32.EXE MSSIGN30.DLL ondll_reg
Shell Extension = %system% spollsv.exe
對註冊表主鍵:
HKEY_LOCAL_MACHINE SOFTWARE Classes txtfile shell open command
修改如下鍵值
默認 = vptray.exe %1
在註冊表主鍵
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion
unServices
下添加如下鍵值:
SystemTra = %Windor% SysTra.EXE
COM++ System = suchost.exe
對於win98/me系統 會對%system% win.ini檔案內添加如下內容:
run=%System% RAVMOND.exe
D、會創建一個名為 Windows Management Protocol v.0 (experimental) 和 _reg 的兩個服務,服務對應的病毒檔案為msjdbc11.dll,入口參數為ondll_server。
E、隨機開啟一個連線埠,作為後門。
F、收集系統信息,存為C: NETLOG.TXT,每行均以NETDI做為開頭
G、複製自身到所有已分享資料夾中,檔案名稱可能是以下之一:
WinRAR.exe
Internet Explorer.bat
Documents and Settings.txt.exe
Microsoft Office.exe
Windows Media Player.zip.exe
Support Tools.exe
WindowsUpdate.pif
Cain.pif
MSDN.ZIP.pif
autoexec.bat
findpass.exe
client.exe
i386.exe
winhlp32.exe
xcopy.exe
mmc.exe
G、會釋放一個名為suchost.exe檔案用於將病毒體和EXE檔案進行捆綁。互斥量為:I090909!
H、會在網路映射磁碟或可移動磁碟中搜尋EXE檔案,替換原檔案,並將原檔案改名為~ex,同時生成tools.rar,壓縮檔中包括Tools.scr檔案為病毒程式 。
預防及解決
1、國內外著名防毒軟體都對病毒庫進行了升級更新,請各用戶注意及時升級防毒軟體。
a)啟動漏洞掃描,並把有漏洞的機器安裝漏洞修復程式,以保證電腦免受病毒攻擊;
b)執行弱密碼及可寫共享掃描,並立即修正,以切斷“五毒蟲”傳播途徑。
2、如果中了該病毒,啟動不了防毒軟體主程式的情況下,可以通過如下步驟解決。
第一步:馬上使用防毒軟體開始選單程式內的單獨升級模組進行升級;
第二步:啟動計算機到安全模式,啟動防毒軟體進行查殺;
目前國內著名廠商如:金山、瑞星,國外諾頓等都擁有單獨的升級模組,可以輕易的解決該病毒。
★ “五毒蟲”專殺工具 (版本:2004.7.14.9) ----查殺惡郵差最新8變種(即“五毒蟲 )
毒霸下載
★ 下載使用3721五毒蟲病毒專殺工具,即可清理該病毒及其變種。
忠告
良好的上網習慣可以減輕中毒的幾率:
1、查殺完病毒後,請注意打上最新的系統補丁,特別是衝擊波、震盪波的補丁
2、修改弱密碼,強烈建議致少使用4個字母和4個數字的組合密碼
3、養成良好習慣,不輕易打開即時通訊工具傳來的網址,不打有附屬檔案的郵件
4、打開金山網鏢和金山毒霸病毒防火牆,防止病毒進入系統。
