中文名称: 五毒虫
邮件蠕虫、漏洞蠕虫、黑客、后门
病毒类型: 木马
受影响系统:
Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000,Windows XP,Windows Server 2003
病毒变种:Worm.Supnot.ac
Worm.Supnot.ad
Worm.Supnot.ae
Worm.Supnot.af
Worm.Supnot.ag
Worm.Supnot.ah
Worm.Supnot.ai
Worm.Supnot.aj
★ 目前该病毒中危害级别最高的 Worm.Supnot.ai/Worm.Supnot.aj 两个变种。
一、病毒状况
“五毒虫”病毒是继震荡波病毒之后又一巨大危害的病毒,初步分析此病毒为国人所编写。它综合了“冲击波”、“QQ小尾巴”、“MYDOOM”、“恶鹰”、“木马”等众多病毒危害于一身,将对电脑用户造成严重危害。
中毒后的计算机可能会出现如下的所有或任意一种现象:向外疯狂发送垃圾邮件、60秒倒计时重启、向QQ好友发送垃圾信息、打不开杀毒软件、向网络内其他机器攻击、上网速度缓慢等。
这个病毒目前几乎应用了所有病毒和木马的攻击和传播技术,不但危害严重,而且传播方式非常多样,极其讨厌。原因是很多病毒源代码在网上都有公布,此病毒作者将几个个危害严重的病毒代码重新组合编写,集五毒于一毒。
该病毒不仅可以中止各类杀毒软件进程,而且还可通过邮件大量传播,使更多用户受到感染。目前它可对系统造成更加严重威胁,不仅可打开系统后门让黑客更容易连结到用户计算机,拦截IE、QQ,网络游戏等应用程序,造成信息泄密。
该病毒作者利用了多种重大病毒源代码进行编写,目前它已经几乎具有了所有的病毒破坏方式:结束杀毒软件进程、邮件疯狂传播、QQ引诱消息传播、据有“木马”性质来盗取网络游戏账号等各种应用程序的密码、对网络造成严重堵塞。
另外,“五毒虫”病毒还会利用QQ发送带网址的消息,欺骗用户下载此病毒。
该病毒也利用了邮件进行传播,并会发送大量的垃圾邮件。带毒邮件的附件名如下,请用户一定要小心,不要上当中招。
二、技术细节
以下为该病毒的行为:
A、病毒运行后会将自身复制到系统目录下:
%SystemRoot% SYSTRA.EXE
%System% hxdef.exe
%System% IEXPLORE.EXE
%System% RAVMOND.exe
%System%
ealsched.exe
%System% vptray.exe
%System% kernel66.dll
B、在系统安装目录中生成
%System% ODBC16.dll
%System% msjdbc11.dll
%System% MSSIGN30.DLL
%System% LMMIB20.DLL
%System% NetMeeting.exe
%Windir% suchost.exe
%System% spollsv.exe
在每个盘符下生成如下两个文件
AUTORUN.INF
COMMAND.EXE
使用户一双击盘符即会中毒
C、在注册表主键:
HKEY_CURRENT_USER SOFTWARE Microsoft Windows CurrentVersion Run
下添加如下键值:
WinHelp = %SYSTEM%
ealsched.exe
Hardware Profile = %SYSTEM% hxdef.exe
Mircorsoft NetMeeting Associates, Inc. = NetMeeting.exe
Program In Windows = %system% IEXPLORE.EXE
VFW Encoder/Decoder Settings = RUNDLL32.EXE MSSIGN30.DLL ondll_reg
Protected Storage = RUNDLL32.EXE MSSIGN30.DLL ondll_reg
Shell Extension = %system% spollsv.exe
对注册表主键:
HKEY_LOCAL_MACHINE SOFTWARE Classes txtfile shell open command
修改如下键值
默认 = vptray.exe %1
在注册表主键
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion
unServices
下添加如下键值:
SystemTra = %Windor% SysTra.EXE
COM++ System = suchost.exe
对于win98/me系统 会对%system% win.ini文件内添加如下内容:
run=%System% RAVMOND.exe
D、会创建一个名为 Windows Management Protocol v.0 (experimental) 和 _reg 的两个服务,服务对应的病毒文件为msjdbc11.dll,入口参数为ondll_server。
E、随机开启一个端口,作为后门。
F、收集系统信息,存为C: NETLOG.TXT,每行均以NETDI做为开头
G、复制自身到所有共享目录中,文件名可能是以下之一:
WinRAR.exe
Internet Explorer.bat
Documents and Settings.txt.exe
Microsoft Office.exe
Windows Media Player.zip.exe
Support Tools.exe
WindowsUpdate.pif
Cain.pif
MSDN.ZIP.pif
autoexec.bat
findpass.exe
client.exe
i386.exe
winhlp32.exe
xcopy.exe
mmc.exe
G、会释放一个名为suchost.exe文件用于将病毒体和EXE文件进行捆绑。互斥量为:I090909!
H、会在网络映射磁盘或可移动磁盘中搜索EXE文件,替换原文件,并将原文件改名为~ex,同时生成tools.rar,压缩包中包括Tools.scr文件为病毒程序。
三、预防及中毒解决方案
1、目前,国内外著名杀毒软件都对病毒库进行了升级更新,请各用户注意及时升级杀毒软件。
a)启动漏洞扫描,并把有漏洞的机器安装漏洞修复程序,以保证电脑免受病毒攻击;
b)执行弱密码及可写共享扫描,并立即修正,以切断“五毒虫”传播途径。
2、如果中了该病毒,启动不了杀毒软件主程序的情况下,可以通过如下步骤解决。
第一步:马上使用杀毒软件开始菜单程序内的单独升级模块进行升级;
第二步:启动计算机到安全模式,启动杀毒软件进行查杀;
目前国内著名厂商如:金山、瑞星,国外诺顿等都拥有单独的升级模块,可以轻易的解决该病毒。
★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★
★ “五毒虫”专杀工具 (版本:2004.7.14.9) ----查杀恶邮差最新8变种(即“五毒虫 )
毒霸下载http://www.kingsoft.com/download/downfile/duba/DB_Supnot.COM
★ 下载使用3721五毒虫病毒专杀工具,即可清理该病毒及其变种。
http://download.3721.com/download/supnotkiller.com
四、忠告
良好的上网习惯可以减轻中毒的几率:
1、查杀完病毒后,请注意打上最新的系统补丁,特别是冲击波、震荡波的补丁
2、修改弱密码,强烈建议致少使用4个字母和4个数字的组合密码
3、养成良好习惯,不轻易打开即时通讯工具传来的网址,不打有附件的邮件
4、打开金山网镖和金山毒霸病毒防火墙,防止病毒进入系统。
