词条 | Worm.Supnot.ad |
释义 | § 概述 病毒别名:W32.Lovgate.X@mm【Norton】 处理时间: 威胁级别:★★★ 中文名称:恶邮差变种AD 病毒类型:蠕虫 影响系统:Win9x/WinNT/Win2K/WinXP/Win2003 病毒行为: 恶邮差 编写工具:Microsoft Visual C++ 6.0 传染条件:通过邮件传播 发作条件:用户误运行,或系统密码过于简单 § 病毒特性 系统修改: A、1、木马运行后会将自身复制到系统目录下: %SystemRoot%SYSTRA.EXE %System%hxdef.exe %System%IEXPLORE.EXE %System%RAVMOND.exe %System% ealsched.exe %System%vptray.exe %System%kernel66.dll 2、在系统安装目录中生成 %System%ODBCdll %System%msjdbc11.dll %System%MSSIGN30.DLL %System%LMMIB20.DLL %System%NetMeeting.exe %Windir%suchost.exe %System%spollsv.exe 3、在每个盘符下生成如下两个文件 AUTORUN.INF COMMAND.EXE 使用户一双击盘符即会中毒 B、1、在注册表主键: HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun 下添加如下键值: "WinHelp"="%SYSTEM%" ealsched.exe" "Hardware Profile" ="%SYSTEM%"hxdef.exe" "Mircorsoft NetMeeting Associates, Inc."="NetMeeting.exe" "Program In Windows"="%system%IEXPLORE.EXE" "VFW Encoder/Decoder Settings"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg" "Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg" "Shell Extension"="%system%spollsv.exe" 2、对注册表主键: HKEY_LOCAL_MACHINESOFTWAREClasses xtfileshellopencommand 修改如下键值 "默认"="vptray.exe %1" 3、在注册表主键 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion unServices 下添加如下键值: "SystemTra"="%Windor%SysTra.EXE" "COM++ System"="suchost.exe" 4、对于win98/me系统 会对%system%win.ini文件内添加如下内容: run=%System%RAVMOND.exe C、会创建一个名为 "Windows Management Protocol v.0 (experimental)"和"_reg"的两个服务,服务对应的病毒文件为msjdbc11.dll 和ondll_server。 D、随机开启一个端口,作为后门。 E、收集系统信息,存为C:NETLOG.TXT,每行均以NETDI做为开头 F、复制自身到所有共享目录中,文件名可能是以下之一: WinRAR.exe Internet Explorer.bat Documents and Settings.txt.exe Microsoft Office.exe Windows Media Player.zip.exe Support Tools.exe WindowsUpdate.pif Cain.pif MSDN.ZIP.pif autoexec.bat findpass.exe client.exe i386.exe winhlp32.exe xcopy.exe mmc.exe G、会释放一个名为suchost.exe文件用于将病毒体和EXE文件进行捆绑。互斥量为:I090909! 发作现象: A、如果杀毒软件进程存在,则中止以下进程: KV KAV Duba NAV kill RavMon.exe Rfw.exe Gate McAfee Symantec SkyNet rising B、对网络上的计算机的管理员密码,进行弱密码攻击:弱密码如下: Guest Administrator zxcv yxcv xxx win test123 test temp123 temp sybase super sex secret pwd pw123 Password owner oracle mypc123 mypc mypass123 mypass love login Login Internet home godblessyou god enable database computer alpha admin123 Admin abcd aaa 88888888 2600 2004 2003 123asd 123abc 123456789 1234567 123123 121212 11111111 110 007 00000000 000000 pass 54321 12345 password passwd server sql !@#$%^&* !@#$%^& !@#$%^ !@#$% asdfgh asdf !@#$ 1234 111 root abc123 12345678 abcdefg abcdef abc 888888 666666 111111 admin administrator guest 654321 123456 321 123 如果攻击成功的话,则病毒感染这台机器。 C、搜索邮件列表,并试图发电子邮件,电子邮件的附件一般名为: the hardcore game-.pif Sex in Office.rm.scr Deutsch BloodPatch!.exe s3msong.MP3.pif Me_nude.AVI.pif How to Crack all gamez.exe Macromedia Flash.scr SETUP.EXE Shakira.zip.exe dreamweaver MX (crack).exe StarWars2 - CloneAttack.rm.scr Industry Giant II.exe DSL Modem Uncapper.rar.exe joke.pif Britney spears nude.exe.txt.exe I am For u.doc.exe D、在所有目录中搜索后缀名为如下的的文件 .htm .sht .php .asp .dbx .tbb .adb .wab 从中找到邮件地址,并用自己的邮件系统发送邮件 特别说明: |
随便看 |
百科全书收录594082条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。