I-Worm/Supkp.ac

I-Worm/Supkp.ac

病毒长度：143,360 字节

病毒类型：网络蠕虫

危害等级：**

影响平台：Win9X/2000/XP/NT/Me

I-Worm/Supkp.ac用VC++编写经ASPack压缩的群发邮件蠕虫病毒，发送自身到所有的邮件地址，利用DCOM RPC漏洞进行传播。

传播过程及特征：

1.复制自身为：

%Windir%SYSTRA.EXE

%System%hxdef.exe

%System%IEXPLORE.EXE

%System%RAVMOND.exe

%System%

ealsched.exe

%System%vptray.exe

%System%kernel66.dll

2.创建文件：

%System%ODBC16.dll --- 53,248 字节

%System%msjdbc11.dll --- 53,248 字节

%System%MSSIGN30.DLL --- 53,248 字节

%System%LMMIB20.DLL --- 53,248 字节

%Windir%suchost.exe --- 49,152 字节

%System%NetMeeting.exe --- 61,440 字节

3.NetMeeting.exe文件运行有如下操作：

/复制自身为%System%spollsv.exe

/修改注册表：

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

"Shell Extension" = "%system%spollsv.exe"

/试图在有DCOM RPC漏洞的机器的系统目录下创建文件a，a为一个FTP脚本文件用于获取感染系统里的hxdef.exe.

/可能在系统目录下生成文件：results.txt ，win2k.txt ，winxp.txt

4.在所有驱动器的根目录下(除光驱外)生成文件AUTORUN.INF，并复制自身为COMMAND.EXE。

5.修改注册表：

在注册表启动项下添加键值

[HKEY_CLASSES_ROOTxtfileshellopencommand]

"(Default)"="vptray.exe %1"

[HKEY_LOCAL_MACHINESOFTWAREClassesxtfileshellopencommand]

"(Default)"="vptray.exe %1"

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

"WinHelp"="%system%

ealsched.exe"

"Hardware Profile"="%system%hxdef.exe"

"Program In Windows"="%system%IEXPLORE.EXE"

"Microsoft NetMeeting Associates, Inc."="NetMeeting.exe"

"VFW Encoder/Decoder Settings"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"

"Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

unServices]

"SystemTra"="%Windor%SysTra.EXE"

"COM++ System"="suchost.exe"

生成子键

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionMXLIB1]

6.Windows 95.98/Me系统下，修改Win.ini文件

[windows]字段 run=%System%RAVMOND.exe

Windows NT/2000/XP系统下，修改注册表，添加键值：

[HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows]

"run"="RAVMOND.exe"

7.结束包含下列字符串的进程(涵括了江民、毒霸、瑞星、天网、诺顿、KILL、McAfee等杀毒及防火墙软件)：

KV KAV Duba NAV kill RavMon.exe Rfw.exe Gate McAfee Symantec SkyNet rising

8.任意选择端口开后门，收集感染计算机的系统信息并保存为文件C:Netlog.txt，蠕虫会将此信息发送给攻击者。

9.复制自身到网络共享目录及其子文件夹，文件名如下：

WinRAR.exe

Internet Explorer.bat

Documents and Settings.txt.exe

Microsoft Office.exe

Windows Media Player.zip.exe

Support Tools.exe

WindowsUpdate.pif

Cain.pif

MSDN.ZIP.pif

autoexec.bat

findpass.exe

client.exe

i386.exe

winhlp32.exe

xcopy.exe

mmc.exe

10.试图用内置的密码库以管理员的身份登陆局域网里的所有计算机，一旦成功便复制自身并启动服务( "Windows Management NetWork Service Extensions.")。

\<目标计算机名>admin$system32NetManager.exe

11.可以通过OutLook和自身内置的SMTP程序发送带毒邮件。通过OutLook发送的邮件是直接回复邮箱中已有的信件，欺骗性较高。通过自带的SMTP程序发现邮件的附件名可能是：

the hardcore game-.pif

Sex in Office.rm.scr

Deutsch BloodPatch!.exe

s3msong.MP3.pif

Me_nude.AVI.pif

How to Crack all gamez.exe

Macromedia Flash.scr

SETUP.EXE

Shakira.zip.exe

dreamweaver MX (crack).exe

StarWars2 - CloneAttack.rm.scr

Industry Giant II.exe

DSL Modem Uncapper.rar.exe

joke.pif

Britney spears nude.exe.txt.exe

I am For u.doc.exe

12.创建网络共享文件夹： %Windir%Media

13.遍历从C到Y所有硬盘下的下列类型文件：

.htm .sht .php .asp .dbx .tbb .adb .wab

14.通过用suchost.exe覆盖原文件或者附加原始的蠕虫文件来感染.exe文件。

• ·TrojanSpy.Qukart.a
• ·鸡子
• ·余阳
• ·Trojan/QQMsg.Chujc.c
• ·分布函数
• ·Backdoor/Soft51d.15
• ·Worm/P2P.Cabby
• ·Trojan/ASP.IISAce
• ·Flooder.MSN.Marry
• ·华硕P5LD2Deluxe