| 词条 | “五毒虫”变种AG(Worm.Supnot.ag) |
| 释义 | § 名称 “五毒虫”变种AG(Worm.Supnot.ag) § 相关资料 病毒信息: 病毒名称: Worm.Supnot.ag 中文名称: 五毒虫 威胁级别: 3A 病毒类型: 邮件蠕虫、漏洞蠕虫、黑客、后门 病毒类型: 木马 受影响系统:Win9x/WinNT/Win2K/WinXP/Win2003 破坏方式: A、病毒利用邮件、DCOM RPC漏洞、局域网进行疯狂传播,导致网络瘫痪等现象 B、开后门,等待黑客连接,造成泄密等损失 C、采用捆绑式感染系统中的EXE文件,损坏系统 D、将自身伪装成流行软件的新版本或者新软件的破解补丁等,诱使用户双击运 发作现象: A、停止下列服务: Rising Realtime Monitor Service Symantec Antivirus Server Symantec Client 来阻止病毒防火墙自动运行. B、,结束掉含有下列字符串的进程: Duba KAV SkyNet Symantec McAfee Gate Rfw.exe RavMon.exe kill rising Nav 让反病毒软件失效 C、搜索c-z的硬盘,如果发现可移动设备,进行下列操作: 搜索扩展名为exe的文件,将原文件扩展名改为~ex,同时将病毒自身拷贝到此并和原文件同名. D、拷贝自身到网络共享可写目录,名字为: WinRAR.exe Internet Explorer.bat Documents and Settings.txt.exe Microsoft Office.exe Windows Media Player.zip.exe Support Tools.exe WindowsUpdate.pif Cain.pif MSDN.ZIP.pif autoexec.bat findpass.exe client.exe i386.exe winhlp32.exe xcopy.exe mmc.exe E、使简单的的密码组合来攻击远程机器的Administrator帐号,攻击成功后传播病毒 技术特点: A、自我复制到 %Windir%\\CDPlay.exe %Windir%\\Exploier.exe %System%\\IEXPLORE.exe %System%\\RAVMOND.exe %System%\\WinHelp.exe %System%\\Update_OB.exe %System%\\TkBellExe.exe %System%\\hxdef.exe %System%\\Kernel66.dll (隐藏属性) B、,在每个分区的根目录建立一个名为CDROM.COM的文件 C、,建立%System%\\iexplorer.exe这个文件,这是恶邮差系列的另外一个变种,当这个变种运行时,进行的系统修改有: a、拷贝自身到%System%\\spollsv.exe. b、添加下列键值: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run "Shell Extension" = "%system%\\spollsv.exe" D、在每个分区根目录下建立autorun.inf文件,内容为: 【Autorun】 open="C:\\cdrom.com"/StartExplorer E、在每个分区根目录下建立下列文件: Bakeup Tools 扩展名为: RAR ZIP F、向注册表添加: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run "Winhelp"="%system%\\TkBellExe.exe..." "Microsoft Associates, Inc."="%system%\\iexplorer.exe" "Hardware Profile"="%system%\\hxdef.exe..." "Program in Windows"="%system%\\IEXPLORE.exe" G、添加服务: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices "SystemTra"="%Windor%\\CDPlay.EXE" "COM++ System"="exploier.exe" H、修改注册表键值: HKEY_CLASSES_ROOT\\txtfile\\shell\\open\\command HKEY_LOCAL_MACHINE\\Software\\Classes\\txtfile\\shell\\open\\command "(Default)"="Update_OB.exe%1" 这样当你每次打开一个txt文件时,病毒都会运行. I、创建注册表键值: HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\ZMXLIB1 J、添加下列注册表键值: HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows "run"="RAVMOND.exe" K、在端口6000进行监听,将监听结果记录到: C:\etlog.txt,并通过email发送给攻击者 L、将%Windir%\\Media设置为共享目录,名字为Media M、在本地搜索扩展名为exe的文件,进行感染. 解决方案: A、 请使用金山毒霸2004年7月14日的病毒库可完全处理该病毒。 B、查杀完病毒后,请注意打上最新的系统补丁,特别是冲击波、震荡波的补丁 C、修改弱密码,强烈建议致少使用4个字母和4个数字的组合密码 D、养成良好习惯,不轻易打开即时通讯工具传来的网址,不打有附件的邮件 E、打开金山网镖和金山毒霸病毒防火墙,防止病毒进入系统。 |
| 随便看 |
百科全书收录594082条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。