概述
.
病毒長度:50,688 位元組, 壓縮檔大約為 50,800-51,000 位元組病毒類型:網路蠕蟲危害等級:**
影響平台:Win9X/2000/XP/NT/Me
I-Worm/Supkp.ah是用C++編寫並經UPX壓縮的網路蠕蟲,此蠕蟲經過加密,群發郵件進行傳播,此外還具有記錄鍵擊的能力。
特點
傳播過程及特徵:
1.在臨時資料夾生成檔案Message,打開默認程式為記事本。
在系統目錄下生成三個隨機檔案名稱的.dll檔案。
2.複製自身:
%System%taskmon.exe
3.修改註冊表:
【HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run】
"Taskmon" = "%System%\taskmon.exe "
4.試圖複製自身到Kazaa下載資料夾進行傳播,檔案名為:
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004
winamp5
擴展名為.exe/ .scr/ .pif/ .cmd/ .bat/ .com/ .zip
5.生成一個隨機檔案名稱的.dll檔案用於激活記錄鍵擊程式,周期性的傳送鍵擊記錄檔案給黑客。
6.終止大部分的反病毒以及安全軟體的運行。
7.在.adb .asp .dbx .htm .php .pl .sht .tbb .txt .wab等類型檔案中搜尋合法的郵件地址,並用自帶的SMTP引擎傳送郵件,郵件特徵:
發件人:偽造地址
主題:空白或下列之一
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
附屬檔案:附屬檔案名為下列之一
body
data
doc
document
file
message
readme
test
text
擴展名為:.exe .scr .pif .cmd .bat .com .zip
