Worm.Supnot.u - 王朝网络宽屏版

病毒名称(中文):

恶邮差变种U

病毒别名:

爱情后门变种V[瑞星]

威胁级别:

★★★☆☆

病毒类型:

蠕虫病毒

病毒长度:

124

影响系统:

Win9xWinNTWin2000WinXP

病毒行为:

“恶邮差”系例

编写工具:

vc多重压缩

传染条件:

利用邮件和局域网高速传播

发作条件:

系统修改:

A、自我复制到

%SYSDIR%IEXPLORE.EXE

%SYSDIR%kernel66.dll

%SYSDIR%RAVMOND.exe

%SYSDIR%SysBoot.EXE

%SYSDIR%WinDriver.exe

%SYSDIR%winexe.exe

%SYSDIR%WinGate.exe

%SYSDIR%WinHelp.exe

%DRIVER%SysBoot.exe

B、病毒将释放一个DLL文件，此文件将在系统中殖入远程后门代码

%SYSDIR%

eg678.dll

%SYSDIR%Task688.dll

病毒将释放一个利用QQ发送消息传播的病毒：“Worm.LovGate.v.QQ”，相关文件名目录为：

%SYSDIR%internet.exe

%SYSDIR%svch0st.exe

C、添加以下键值

HKEY_CLASSES_ROOTexefileshellopencommand

(默认):%SYSDIR%WINEXE.EXE"%1"%*

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun

"WinGateinitialize"="%SYSDIR%WINGATE.EXE-REMOTESHELL"

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun

"WinHelp"="%SYSDIR%WINHELP.EXE"

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun

"RemoteProcedureCallLocator"="RUNDLL32.EXEREG678.DLLONDLL_REG"

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun

"ProgramInWindows"="%SYSDIR%IEXPLORE.EXE"

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRunServices

"SystemTra"="%WINDIR%SYSTRA.EXE/SYSTRA:KERNEL32.DLL"

在win9x下还修改系统文件：

WIN.INI

[WINDOWS]

"RUN"="RAVMOND.EXE"

在win2k、NT、XP下注册服务：

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesll_reg

DisplayName="ll_reg"

IMAGEPATH＝"RUNDLL32.EXETASK688.DLLONDLL_SERVER"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindowsManagementInstrumentationDriverExtension

DisplayName="WindowsManagementInstrumentationDriverExtension"

IMAGEPATH="%SYSTEM%WINDRIVER.EXE-START_SERVER"

病毒也将在每一个硬盘和可移动盘的根目录下建立一个文件：AUTORUN.INF的文件，内容为：

[AUTORUN]

Open="%DRIVER%:SysBoot.EXE"/StartExplorer

其中%DRIVER%为相应的驱动器。

这样在用户打开该驱动器后将运行病毒

D、病毒变相感染可执行文件

病毒可能会将EXE文件改名为ZMX文件，并设置属性为“隐藏”和“系统”，如：病毒搜索到一个名为“Winword.exe”的文件，会将其改名“Winword.zmx”并设置属性“隐藏”和“系统”，然后释放一个名为“Winword.exe”的病毒复本。

这个功能的条件是：病毒运行后，每隔一小时会检查系统中是否有“网络映射驱动器”和“可移动驱器”，假如有，侧会进行上述变向的文件感染。

E、Windows弱口令密码试探攻击、放出后门程序、盗取密码

F、病毒利用mapi及搜出的email地址，对收信箱里的邮件进行回复（传播）。

邮件标题随机从病毒体内选出

当病毒被运行后每隔一定时间发送一次通知邮件给

位于163.com的一个信箱,邮件内容为中毒系统的ip地址，以便利用病毒的后门进行控制

发作现象:

共享目录会塞满此蠕虫的文件，一般轻易辨认。

非凡说明: