请输入您要查询的百科知识:

 

词条 “五毒虫”变种AC(Worm.Supnot.ac)
释义

§ 名称

“五毒虫”变种AC(Worm.Supnot.ac)

§ 相关资料

病毒信息:

病毒名称: Worm.Supnot.ac

中文名称: 五毒虫

威胁级别: 3B

病毒类型: 邮件蠕虫、漏洞蠕虫、黑客、后门

病毒类型: 木马

受影响系统:Win9x, Windows 2000, Windows XP, Windows 2003

破坏方式:

A、病毒利用邮件、DCOM RPC漏洞、局域网进行疯狂传播,导致网络瘫痪等现象

B、开后门,等待黑客连接,造成泄密等损失

C、采用捆绑式感染系统中的EXE文件,损坏系统

发作现象:

A、如果杀毒软件进程存在,则中止以下进程:

KV

KAV

Duba

NAV

kill

RavMon.exe

Rfw.exe

Gate

McAfee

Symantec

SkyNet

rising

B、对网络上的计算机的管理员密码,进行弱密码攻击,如果攻击成功的话,则病毒感染这台机器。

C、搜索邮件列表,并试图发电子邮件,电子邮件的附件一般名为:

the hardcore game-.pif

Sex in Office.rm.scr

Deutsch BloodPatch!.exe

s3msong.MP3.pif

Me_nude.AVI.pif

How to Crack all gamez.exe

Macromedia Flash.scr

SETUP.EXE

Shakira.zip.exe

dreamweaver MX (crack).exe

StarWars2 - CloneAttack.rm.scr

Industry Giant II.exe

DSL Modem Uncapper.rar.exe

joke.pif

Britney spears nude.exe.txt.exe

I am For u.doc.exe

D、在所有目录中搜索后缀名为如下的的文件

.htm .sht .php .asp .dbx .tbb .adb .wab

从中找到邮件地址,并用自己的邮件系统发送邮件

技术特点:

A、病毒运行后会将自身复制到系统目录下:

%SystemRoot%\\SYSTRA.EXE

%System%\\hxdef.exe

%System%\\IEXPLORE.EXE

%System%\\RAVMOND.exe

%System%\\realsched.exe

%System%\\vptray.exe

%System%\\kernel66.dll

B、在系统安装目录中生成

%System%\\ODBC16.dll

%System%\\msjdbc11.dll

%System%\\MSSIGN30.DLL

%System%\\LMMIB20.DLL

%System%\etMeeting.exe

%Windir%\\suchost.exe

%System%\\spollsv.exe

在每个盘符下生成如下两个文件

AUTORUN.INF

COMMAND.EXE

使用户一双击盘符即会中毒

C、在注册表主键:

HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

下添加如下键值:

"WinHelp"="%SYSTEM%"\\realsched.exe"

"Hardware Profile" ="%SYSTEM%"\\hxdef.exe"

"Mircorsoft NetMeeting Associates, Inc."="NetMeeting.exe"

"Program In Windows"="%system%\\IEXPLORE.EXE"

"VFW Encoder/Decoder Settings"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"

"Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"

"Shell Extension"="%system%\\spollsv.exe"

对注册表主键:

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\txtfile\\shell\\open\\command

修改如下键值

"默认"="vptray.exe %1"

在注册表主键

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\runServices

下添加如下键值:

"SystemTra"="%Windor%\\SysTra.EXE"

"COM++ System"="suchost.exe"

对于win98/me系统 会对%system%\\win.ini文件内添加如下内容:

run=%System%\\RAVMOND.exe

D、会创建一个名为 "Windows Management Protocol v.0 (experimental)"和"_reg"的两个服务,服务对应的病毒文件为msjdbc11.dll 和ondll_server。

E、随机开启一个端口,作为后门。

F、收集系统信息,存为C:\ETLOG.TXT,每行均以NETDI做为开头

G、复制自身到所有共享目录中,文件名可能是以下之一:

WinRAR.exe

Internet Explorer.bat

Documents and Settings.txt.exe

Microsoft Office.exe

Windows Media Player.zip.exe

Support Tools.exe

WindowsUpdate.pif

Cain.pif

MSDN.ZIP.pif

autoexec.bat

findpass.exe

client.exe

i386.exe

winhlp32.exe

xcopy.exe

mmc.exe

G、会释放一个名为suchost.exe文件用于将病毒体和EXE文件进行捆绑。互斥量为:I090909!

解决方案:

A、 请使用金山毒霸2004年7月14日的病毒库可完全处理该病毒。

B、查杀完病毒后,请注意打上最新的系统补丁,特别是冲击波、震荡波的补丁

C、修改弱密码,强烈建议致少使用4个字母和4个数字的组合密码

D、养成良好习惯,不轻易打开即时通讯工具传来的网址,不打有附件的邮件

E、打开金山网镖和金山毒霸病毒防火墙,防止病毒进入系统。
随便看

 

百科全书收录594082条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2024/9/21 18:41:15