病毒簡介
病毒長度:183,296 位元組
病毒類型:網路蠕蟲
危害等級:**
影響平台:Win9X/2000/XP/NT/Me/2003
I-Worm/Supkp.ag是群發郵件蠕蟲病毒,利用DCOM RPC漏洞在TCP連線埠135進行傳播,還通過網路共享進行傳播,黑客可以任意訪問感染蠕蟲的系統,並可以在任意連線埠打開後門。
傳播過程及特徵
1.複製自身:
%Windir%\SYSTRA.EXE
%Windir%\DRWTSN16.EXE
%System%\hxdef.exe
%System%\a(57 bytes)
%System%\IEXPLORE.EXE
%System%\RAVMOND.exe
%System%\internet.exe
%System%\svch0st.exe
%System%\kernel66.dll
生成檔案:
%System%\ODBC16.dll -- 53,248 位元組
%System%\msjdbc11.dll -- 53,248 位元組
%System%\MSSIGN30.DLL -- 53,248 位元組
%System%\WIN32VXD.DLL -- 53,248 位元組
%System%\NetMeeting.exe -- 61,440 位元組
2.NetMeeting.exe檔案運行有如下操作:
/複製自身為%System%\spollsv.exe
/修改註冊表:
【HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run】
"Shell Extension" = "%system%\spollsv.exe"
/試圖在有DCOM RPC漏洞的機器的系統目錄下創建檔案a,a為一個FTP腳本檔案用於獲取感染系統里的hxdef.exe.
/可能在系統目錄下生成檔案:results.txt ,win2k.txt ,winxp.txt
3.在硬碟根目錄下生成檔案AUTORUN.INF,並複製自身為command.exe。此外還生成檔案:.
4.修改註冊表:
在註冊表啟動項下添加鍵值
【HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run】
"NetworkAssociates Inc" = "internet.exe"
"Hardware Profile" = "%system%\hxdef.exe"
"Program In Windows" = "%system%\IEXPLORE.EXE"
"VFW Encoder/Decoder Settings" = "RUNDLL32.EXEMSSIGN30.DLL ondll_reg"
"Protected Storage" = "RUNDLL32.EXE MSSIGN30.DLLondll_reg"
"S0undMan" = "%system%\svch0st.exe"
"Microsoft NetMeeting Associates, Inc." = NetMeeting.exe"
【HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\runServices】
"SystemTra"="%Windor%\SysTra.EXE"
"COM++ System"="DRWTSN16.EXE"
Windows NT/2000/XP
【HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows】
"run"="RAVMOND.exe"
5.結束包含下列字元串的進程(涵括了毒霸、瑞星、天網、諾頓、KILL、McAfee等防毒及防火牆軟體):
KAV
Duba
NAV
kill
RavMon.exe
Rfw.exe
Gate
McAfee
Symantec
SkyNet
rising
6.複製自身到網路已分享資料夾及其子資料夾,檔案名稱如下:
WinRAR.exe
Internet Explorer.bat
Documents and Settings.txt.exe
Microsoft office.exe
Windows Media Player.zip.exe
Support Tools.exe
WindowsUpdate.pif
Cain.pif
MSDN.ZIP.pif
autoexec.bat
findpass.exe
client.exe
i386.exe
winhlp32.exe
xcopy.exe
mmc.exe
7.掃描網路內的所有計算機,企圖用內置密碼庫里的密碼獲取管理員登入許可權。一旦成功登入到遠程計算機,蠕蟲便複製自身:
\\<計算機名>\admin$\%System%\NetManager.exe 並將此檔案作為"Windows Management NetWork Service Extensions"服務開始運行。
8.從感染病毒的計算機上搜尋合法的郵件地址,然後利用自帶的SMTP引擎傳送自身到上述地址,郵件特徵:
主題:下列之一
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
附屬檔案:.exe/.scr/.pif/.com/.rar類型檔案
此外進入 MAPI-compliant 郵件客戶端(包括:Microsoft Outlook)信箱後會回復收件箱中的所有郵件。
註:%Windir%為變數,一般為C:\Windows 或 C:\Winnt;
%Program Files%一般為c:\Program Files;
%System%為變數,一般為C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000),
或 C:\Windows\System32 (Windows XP)。
