“五毒虫”变种AG(Worm.Supnot.ag)

病毒信息：

病毒名称: Worm.Supnot.ag

中文名称: 五毒虫

威胁级别: 3A

病毒类型: 邮件蠕虫、漏洞蠕虫、黑客、后门

病毒类型: 木马

受影响系统:Win9x/WinNT/Win2K/WinXP/Win2003

破坏方式：

A、病毒利用邮件、DCOM RPC漏洞、局域网进行疯狂传播，导致网络瘫痪等现象

B、开后门，等待黑客连接，造成泄密等损失

C、采用捆绑式感染系统中的EXE文件，损坏系统

D、将自身伪装成流行软件的新版本或者新软件的破解补丁等,诱使用户双击运

发作现象：

A、停止下列服务:

Rising Realtime Monitor Service

Symantec Antivirus Server

Symantec Client

来阻止病毒防火墙自动运行.

B、,结束掉含有下列字符串的进程:

Duba

KAV

SkyNet

Symantec

McAfee

Gate

Rfw.exe

RavMon.exe

kill

rising

Nav

让反病毒软件失效

C、搜索c-z的硬盘,如果发现可移动设备,进行下列操作:

搜索扩展名为exe的文件,将原文件扩展名改为~ex,同时将病毒自身拷贝到此并和原文件同名.

D、拷贝自身到网络共享可写目录,名字为:

WinRAR.exe

Internet Explorer.bat

Documents and Settings.txt.exe

Microsoft Office.exe

Windows Media Player.zip.exe

Support Tools.exe

WindowsUpdate.pif

Cain.pif

MSDN.ZIP.pif

autoexec.bat

findpass.exe

client.exe

i386.exe

winhlp32.exe

xcopy.exe

mmc.exe

E、使简单的的密码组合来攻击远程机器的Administrator帐号，攻击成功后传播病毒

技术特点：

A、自我复制到

%Windir%CDPlay.exe

%Windir%Exploier.exe

%System%IEXPLORE.exe

%System%RAVMOND.exe

%System%WinHelp.exe

%System%Update_OB.exe

%System%TkBellExe.exe

%System%hxdef.exe

%System%Kernel66.dll (隐藏属性)

B、,在每个分区的根目录建立一个名为CDROM.COM的文件

C、,建立%System%iexplorer.exe这个文件,这是恶邮差系列的另外一个变种,当这个变种运行时,进行的系统修改有:

a、拷贝自身到%System%spollsv.exe.

b、添加下列键值:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

"Shell Extension" = "%system%spollsv.exe"

D、在每个分区根目录下建立autorun.inf文件,内容为:

[Autorun]

open="C:cdrom.com"/StartExplorer

E、在每个分区根目录下建立下列文件:

Bakeup

Tools

email

扩展名为:

RAR

ZIP

F、向注册表添加:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

"Winhelp"="%system%TkBellExe.exe..."

"Microsoft Associates, Inc."="%system%iexplorer.exe"

"Hardware Profile"="%system%hxdef.exe..."

"Program in Windows"="%system%IEXPLORE.exe"

G、添加服务:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices

"SystemTra"="%Windor%CDPlay.EXE"

"COM++ System"="exploier.exe"

H、修改注册表键值:

HKEY_CLASSES_ROOTxtfileshellopencommand

HKEY_LOCAL_MACHINESoftwareClassesxtfileshellopencommand

"(Default)"="Update_OB.exe%1"

这样当你每次打开一个txt文件时,病毒都会运行.

I、创建注册表键值:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionMXLIB1

J、添加下列注册表键值:

HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows

"run"="RAVMOND.exe"

K、在端口6000进行监听,将监听结果记录到:

C:Netlog.txt,并通过email发送给攻击者

L、将%Windir%Media设置为共享目录,名字为Media

M、在本地搜索扩展名为exe的文件,进行感染.

解决方案:

A、 请使用金山毒霸2004年7月14日的病毒库可完全处理该病毒。

B、查杀完病毒后，请注意打上最新的系统补丁，特别是冲击波、震荡波的补丁

C、修改弱密码，强烈建议致少使用4个字母和4个数字的组合密码

D、养成良好习惯，不轻易打开即时通讯工具传来的网址，不打有附件的邮件

E、打开金山网镖和金山毒霸病毒防火墙，防止病毒进入系统。