病毒信息:
病毒名称: Worm.Supnot.ai
中文名称: 五毒虫
威胁级别: 4A
病毒类型: 邮件蠕虫、漏洞蠕虫、黑客、后门
病毒类型: 木马
受影响系统:Win9x/WinNT/Win2K/WinXP/Win2003
破坏方式:
A、病毒利用邮件、DCOM RPC漏洞、局域网进行疯狂传播,导致网络瘫痪等现象
B、开后门,等待黑客连接,造成泄密等损失
C、采用捆绑式感染系统中的EXE文件,损坏系统
D、将自身伪装成流行软件的新版本或者新软件的破解补丁等,诱使用户双击运
E、利用QQ散布带网址信息的消息,诱使用户下载病毒
F、盗取网络中的密码,送到病毒作者指定的信箱
发作条件:
运行后会通过邮件传播,将自己作为邮件的附件。也会通过拷贝自身到网络共享可写目录传播。另外它还会对局域网的机器进行弱密码攻击,成功后也会拷贝自身到被攻击机器并执行。
发作现象:
A、如果杀毒软件进程存在,则中止以下进程:
KV
KAV
Duba
NAV
kill
RavMon.exe
Rfw.exe
Gate
McAfee
Symantec
SkyNet
Rising
B、对网络上的计算机的管理员密码,进行弱密码攻击,如果攻击成功的话,则病毒感染这台机器。
C、搜索邮件列表,并试图发电子邮件,电子邮件的附件一般名为:
the hardcore game-.pif
Sex in Office.rm.scr
Deutsch BloodPatch!.exe
s3msong.MP3.pif
Me_nude.AVI.pif
How to Crack all gamez.exe
Macromedia Flash.scr
SETUP.EXE
Shakira.zip.exe
dreamweaver MX (crack).exe
StarWars2 - CloneAttack.rm.scr
Industry Giant II.exe
DSL Modem Uncapper.rar.exe
joke.pif
Britney spears nude.exe.txt.exe
I am For u.doc.exe
D、在所有目录中搜索后缀名为如下的的文件
.htm .sht .php .asp .dbx .tbb .adb .wab
从中找到邮件地址,并用自己的邮件系统发送邮件
E、搜索c-z的硬盘,如果发现可移动设备,进行下列操作:
搜索扩展名为exe的文件,将原文件扩展名改为zmx,同时将病毒自身拷贝到此并和原文件同名.
F、搜索本地邮件客户端,如:Microsoft Outlook等,并回复所有收到的邮件:
如果原信件为:
标题: 原标题
发件人: <someone@<somewhere.com
内容: <内容
蠕虫回复的邮件就为:
标题: Re: 原标题
收件人: <someone@<somewhere.com
内容:
'<someone' 写道:
====
<原信件内容
====
<发件者的邮件服务器 帐号自动回复:
followed by one of the following:
If you can keep your head when all about you
Are losing theirs and blaming it on you;
If you can trust yourself when all men doubt you,
But make allowance for their doubting too;
If you can wait and not be tired by waiting,
Or, being lied about,don't deal in lies,
Or, being hated, don't give way to hating,
And yet don't look too good, nor talk too wise;
... ... more look to the attachment(更多请查看附件).
Get your FREE <sender's domain account now! <
附件为: (名字为下列之一)
the hardcore game-.pif
Sex in Office.rm.scr
Deutsch BloodPatch!.exe
s3msong.MP3.pif
Me_nude.AVI.pif
How to Crack all gamez.exe
Macromedia Flash.scr
SETUP.EXE
Shakira.zip.exe
dreamweaver MX (crack).exe
StarWars2 - CloneAttack.rm.scr
Industry Giant II.exe
DSL Modem Uncapper.rar.exe
joke.pif
Britney spears nude.exe.txt.exe
I am For u.doc.exe
H,在下列目录中搜索扩展名为.txt, .pl, .wab, .adb, .tbb, .dbx, .asp, .php, .sht, and .htm的文件,并在这些文件中搜索email地址.
%Windir%\Local Settings
\Documents and Settings\<current user\local settings
Temporary Internet Files
21,通过自己的smtp引擎向搜索到的email地址发信,特征为:
发件人: 随机字符
标题:下列之一
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
内容: 下列之一
pass
Mail failed. For further assistance, please contact!
The message contains Unicode characters and has been sent as a binary attachment.
It's the long-awaited film version of the Broadway hit. The message sent as a binary attachment.
附件: (下列之一)
document
readme
doc
text
file
data
test
message
body
扩展名:
.bat
.exe
.scr
.pif
G、将%Windir%\Media设置为共享目录,名字为Media
H、会监视用户密码,并将监视到的结果保存到
%System%/win32add.sys
%System%/win32pwd.sys
格式如下
ftp://用户名1:密码1@IP1/
ftp://用户名2:密码2@IP2/
I、病毒如果发现QQ的“发送”按钮,则会自动发送如下信息之一:
你那瓜子形的形,那么白净,弯弯的一双眉毛,那么修长;水汪汪的一对眼睛,那么明亮!
你是花丛中的蝴蝶,是百合花中的蓓蕾。无论什么衣服穿到你的身上,总是那么端庄、好看。 在风吹干你的散发时,我简直着魔了:在闪闪发光的披肩柔发中,在淡淡入鬓的蛾眉问,在碧水漓漓的眼睛里……你竟是如此美丽可人!
你是一尊象牙雕刻的女神,大方、端庄、温柔、姻静,无一不使男人深深崇拜。 你其有点像天上的月亮,也像那闪烁的星星,可惜我不是诗人,否则,当写一万首诗来形容你的美丽。 春花秋月,是诗人们歌颂的情景,可是我对于它,却感到十分平凡。只有你嵌着梨涡的笑容,才是我眼中最美的偶象。
你笑起来的样子最为动人,两片薄薄的嘴唇在笑,长长的眼睛在笑,腮上两个陷得很举动的酒窝也在笑. 你蹦蹦跳跳地走进来,一件红尼大衣,紧束着腰带,显得那么轻盈,那么矫健,简直就像天边飘来一朵红云。
远远地,我目送你的背影,你那用一束大红色绸带扎在脑后的黑发,宛如幽静的月夜里从山涧中倾泻下来的一壁瀑布。
其实,我最先认识你是在照片上。照片上的你托腮凝眸,若有所思。那份温柔、那份美感、那份妩媚,使我久久难以忘怀
你是那样地美,美得象一首抒情诗。你全身充溢着少女的纯情和青春的风采。留给我印象最深的是你那双湖水般清澈的眸子,以及长长的、一闪一闪的睫毛。像是探询,像是关切,像是问候。
后面跟上“ 这是你需要的东西: 下载地址1 下载地址2
如:其实,我最先认识你是在照片上。照片上的你托腮凝眸,若有所思。那份温柔、那份美感、那份妩媚,使我久久难以忘怀。这是你需要的东西:
下载地址1
下载地址2
下载内容为病毒文件。链接为 病毒文件,用户运行后即会中毒
技术特点:
A、木马运行后会将自身复制到系统目录下:
%SystemRoot%\SYSTRA.EXE
%System%\hxdef.exe
%System%\IEXPLORE.EXE
%System%\RAVMOND.exe
%System%\realsched.exe
%System%\vptray.exe
%System%\kernel66.dll
在系统安装目录中生成
%System%\ODBC16.dll
%System%\msjdbc11.dll
%System%\MSSIGN30.DLL
%System%\LMMIB20.DLL
%System%\NetMeeting.exe
%System%\spollsv.exe
%system%\internet.exe
%System%\svch0st.exe
在每个盘符下生成如下两个文件
AUTORUN.INF
COMMAND.EXE
使用户一双击盘符即会中毒
B、在注册表主键:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下添加如下键值:
"WinHelp"="%SYSTEM%"\realsched.exe"
"Hardware Profile" ="%SYSTEM%"\hxdef.exe"
"Mircorsoft NetMeeting Associates, Inc."="NetMeeting.exe"
"Program In Windows"="%system%\IEXPLORE.EXE"
"VFW Encoder/Decoder Settings"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
"Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
"Shell Extension"="%system%\spollsv.exe"
"Network Associates, Inc."="internet.exe"
"S0undMan"="svch0st.exe"
在注册表主键
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\runServices
下添加如下键值:
"SystemTra"="%Windor%\SysTra.EXE"
对于win98/me系统 会对%system%\win.ini文件内添加如下内容:
run=%System%\RAVMOND.exe
C、会创建一个名为 "Windows Management Protoc
