§ 名称

“五毒虫”变种AF(Worm.Supnot.af)

§ 相关资料

病毒信息：

病毒名称: Worm.Supnot.af

中文名称: 五毒虫

威胁级别: 3B

病毒类型: 邮件蠕虫、漏洞蠕虫、黑客、后门

病毒类型: 木马

受影响系统:Win9x, Windows 2000, Windows XP, Windows 2003

破坏方式：

A、病毒利用邮件、DCOM RPC漏洞、局域网进行疯狂传播，导致网络瘫痪等现象

B、开后门，等待黑客连接，造成泄密等损失

C、采用捆绑式感染系统中的EXE文件，损坏系统

D、将自身伪装成流行软件的新版本或者新软件的破解补丁等,诱使用户双击运

发作现象：

A、停止下列服务:

Rising Realtime Monitor Service

Symantec Antivirus Server

Symantec Client

来阻止病毒防火墙自动运行.

B、,结束掉含有下列字符串的进程:

Duba

KAV

SkyNet

Symantec

McAfee

Gate

Rfw.exe

RavMon.exe

kill

rising

Nav

让反病毒软件失效

C、搜索c-z的硬盘,如果发现可移动设备,进行下列操作:

搜索扩展名为exe的文件,将原文件扩展名改为zmx,同时将病毒自身拷贝到此并和原文件同名.

D、拷贝自身到网络共享可写目录,名字为:

WinRAR.exe

Internet Explorer.bat

Documents and Settings.txt.exe

Microsoft Office.exe

Windows Media Player.zip.exe

Support Tools.exe

WindowsUpdate.pif

Cain.pif

MSDN.ZIP.pif

autoexec.bat

findpass.exe

client.exe

i386.exe

winhlp32.exe

xcopy.exe

mmc.exe

E、使简单的的密码组合来攻击远程机器的Administrator帐号，攻击成功后传播病毒

技术特点：

A、自我复制到

%Windir%\\CDPlay.exe

%Windir%\\Exploier.exe

%System%\\IEXPLORE.exe

%System%\\RAVMOND.exe

%System%\\WinHelp.exe

%System%\\Update_OB.exe

%System%\\TkBellExe.exe

%System%\\hxdef.exe

%System%\\Kernel66.dll (隐藏属性)

B、,在每个分区的根目录建立一个名为CDROM.COM的文件

C、,建立%System%\\iexplorer.exe这个文件,这是恶邮差系列的另外一个变种,当这个变种运行时,进行的系统修改有:

a、拷贝自身到%System%\\spollsv.exe.

b、添加下列键值:

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

"Shell Extension" = "%system%\\spollsv.exe"

D、在每个分区根目录下建立autorun.inf文件,内容为:

【Autorun】

open="C:\\cdrom.com"/StartExplorer

E、在每个分区根目录下建立下列文件:

Bakeup

Tools

email

扩展名为:

RAR

ZIP

F、向注册表添加:

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

"Winhelp"="%system%\\TkBellExe.exe..."

"Microsoft Associates, Inc."="%system%\\iexplorer.exe"

"Hardware Profile"="%system%\\hxdef.exe..."

"Program in Windows"="%system%\\IEXPLORE.exe"

G、添加服务:

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices

"SystemTra"="%Windor%\\CDPlay.EXE"

"COM++ System"="exploier.exe"

H、修改注册表键值:

HKEY_CLASSES_ROOT\\txtfile\\shell\\open\\command

HKEY_LOCAL_MACHINE\\Software\\Classes\\txtfile\\shell\\open\\command

"(Default)"="Update_OB.exe%1"

这样当你每次打开一个txt文件时,病毒都会运行.

I、创建注册表键值:

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\ZMXLIB1

J、添加下列注册表键值:

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows

"run"="RAVMOND.exe"

K、在端口6000进行监听,将监听结果记录到:

C:\etlog.txt,并通过email发送给攻击者

L、将%Windir%\\Media设置为共享目录,名字为Media

M、在本地搜索扩展名为exe的文件,进行感染.

解决方案:

A、 请使用金山毒霸2004年7月14日的病毒库可完全处理该病毒。

B、查杀完病毒后，请注意打上最新的系统补丁，特别是冲击波、震荡波的补丁

C、修改弱密码，强烈建议致少使用4个字母和4个数字的组合密码

D、养成良好习惯，不轻易打开即时通讯工具传来的网址，不打有附件的邮件

E、打开金山网镖和金山毒霸病毒防火墙，防止病毒进入系统。

• 山西高原
• 山角
• 山角蟾
• 山谷先生诗集
• 山谷琴趣外篇
• 山谷褐
• 山谷风
• 山豆根小煤炱
• 山豆根属
• 山豆根总碱
• 山豆根方
• 山豆碱
• 山貘
• 山货
• 山赀
• 山资
• 山走石泣
• 山赵全鳞鱼
• 山越
• 山趺
• 山身
• 山达
• 山述
• 山道
• 山邮