词条 | “五毒虫”变种AC(Worm.Supnot.ac) |
释义 | § 名称 “五毒虫”变种AC(Worm.Supnot.ac) § 相关资料 病毒信息: 病毒名称: Worm.Supnot.ac 中文名称: 五毒虫 威胁级别: 3B 病毒类型: 邮件蠕虫、漏洞蠕虫、黑客、后门 病毒类型: 木马 受影响系统:Win9x, Windows 2000, Windows XP, Windows 2003 破坏方式: A、病毒利用邮件、DCOM RPC漏洞、局域网进行疯狂传播,导致网络瘫痪等现象 B、开后门,等待黑客连接,造成泄密等损失 C、采用捆绑式感染系统中的EXE文件,损坏系统 发作现象: A、如果杀毒软件进程存在,则中止以下进程: KV KAV Duba NAV kill RavMon.exe Rfw.exe Gate McAfee Symantec SkyNet rising B、对网络上的计算机的管理员密码,进行弱密码攻击,如果攻击成功的话,则病毒感染这台机器。 C、搜索邮件列表,并试图发电子邮件,电子邮件的附件一般名为: the hardcore game-.pif Sex in Office.rm.scr Deutsch BloodPatch!.exe s3msong.MP3.pif Me_nude.AVI.pif How to Crack all gamez.exe Macromedia Flash.scr SETUP.EXE Shakira.zip.exe dreamweaver MX (crack).exe StarWars2 - CloneAttack.rm.scr Industry Giant II.exe DSL Modem Uncapper.rar.exe joke.pif Britney spears nude.exe.txt.exe I am For u.doc.exe D、在所有目录中搜索后缀名为如下的的文件 .htm .sht .php .asp .dbx .tbb .adb .wab 从中找到邮件地址,并用自己的邮件系统发送邮件 技术特点: A、病毒运行后会将自身复制到系统目录下: %SystemRoot%\\SYSTRA.EXE %System%\\hxdef.exe %System%\\IEXPLORE.EXE %System%\\RAVMOND.exe %System%\\realsched.exe %System%\\vptray.exe %System%\\kernel66.dll B、在系统安装目录中生成 %System%\\ODBC16.dll %System%\\msjdbc11.dll %System%\\MSSIGN30.DLL %System%\\LMMIB20.DLL %System%\etMeeting.exe %Windir%\\suchost.exe %System%\\spollsv.exe 在每个盘符下生成如下两个文件 AUTORUN.INF COMMAND.EXE 使用户一双击盘符即会中毒 C、在注册表主键: HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 下添加如下键值: "WinHelp"="%SYSTEM%"\\realsched.exe" "Hardware Profile" ="%SYSTEM%"\\hxdef.exe" "Mircorsoft NetMeeting Associates, Inc."="NetMeeting.exe" "Program In Windows"="%system%\\IEXPLORE.EXE" "VFW Encoder/Decoder Settings"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg" "Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg" "Shell Extension"="%system%\\spollsv.exe" 对注册表主键: HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\txtfile\\shell\\open\\command 修改如下键值 "默认"="vptray.exe %1" 在注册表主键 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\runServices 下添加如下键值: "SystemTra"="%Windor%\\SysTra.EXE" "COM++ System"="suchost.exe" 对于win98/me系统 会对%system%\\win.ini文件内添加如下内容: run=%System%\\RAVMOND.exe D、会创建一个名为 "Windows Management Protocol v.0 (experimental)"和"_reg"的两个服务,服务对应的病毒文件为msjdbc11.dll 和ondll_server。 E、随机开启一个端口,作为后门。 F、收集系统信息,存为C:\ETLOG.TXT,每行均以NETDI做为开头 G、复制自身到所有共享目录中,文件名可能是以下之一: WinRAR.exe Internet Explorer.bat Documents and Settings.txt.exe Microsoft Office.exe Windows Media Player.zip.exe Support Tools.exe WindowsUpdate.pif Cain.pif MSDN.ZIP.pif autoexec.bat findpass.exe client.exe i386.exe winhlp32.exe xcopy.exe mmc.exe G、会释放一个名为suchost.exe文件用于将病毒体和EXE文件进行捆绑。互斥量为:I090909! 解决方案: A、 请使用金山毒霸2004年7月14日的病毒库可完全处理该病毒。 B、查杀完病毒后,请注意打上最新的系统补丁,特别是冲击波、震荡波的补丁 C、修改弱密码,强烈建议致少使用4个字母和4个数字的组合密码 D、养成良好习惯,不轻易打开即时通讯工具传来的网址,不打有附件的邮件 E、打开金山网镖和金山毒霸病毒防火墙,防止病毒进入系统。 |
随便看 |
百科全书收录594082条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。