请输入您要查询的百科知识:

 

词条 “五毒虫”变种AH(Worm.Supnot.ah)
释义

§ 名称

“五毒虫”变种AH(Worm.Supnot.ah)

§ 相关资料

病毒信息:

病毒名称: Worm.Supnot.ah

中文名称: 五毒虫

威胁级别: 3B

病毒类型: 邮件蠕虫、漏洞蠕虫、黑客、后门

病毒类型: 木马

受影响系统:Win9x/WinNT/Win2K/WinXP/Win2003

破坏方式:

A、病毒利用邮件、DCOM RPC漏洞、局域网进行疯狂传播,导致网络瘫痪等现象

B、开后门,等待黑客连接,造成泄密等损失

C、采用捆绑式感染系统中的EXE文件,损坏系统

发作现象:

A、如果杀毒软件进程存在,则中止以下进程:

KV

KAV

Duba

NAV

kill

RavMon.exe

Rfw.exe

Gate

McAfee

Symantec

SkyNet

Rising

B、如果杀毒软件服务存在,则中止以下服务:

Symantec AntiVirus Client

Symantec AntiVirus Server

Rising Realtime Monitor Service

C、对网络上的计算机的管理员密码,进行弱密码攻击,如果攻击成功的话,则病毒感染这台机器。

D、搜索邮件列表,并试图发电子邮件,电子邮件的附件一般名为:

the hardcore game-.pif

Sex in Office.rm.scr

Deutsch BloodPatch!.exe

s3msong.MP3.pif

Me_nude.AVI.pif

How to Crack all gamez.exe

Macromedia Flash.scr

SETUP.EXE

Shakira.zip.exe

dreamweaver MX (crack).exe

StarWars2 - CloneAttack.rm.scr

Industry Giant II.exe

DSL Modem Uncapper.rar.exe

joke.pif

Britney spears nude.exe.txt.exe

I am For u.doc.exe

E、在所有目录中搜索后缀名为如下的的文件

.txt, .pl, .wab, .adb, .tbb, .dbx, .asp, .php, .sht, and .htm

从中找到邮件地址,并用自己的邮件系统发送邮件

技术特点:

A、病毒运行后会在系统目录生成如下文件:

%SystemDrive%\\cdrom.com

%SystemRoot%\\CDPlay.exe

%Windir%\\Exploier.exe

%System%\\IEXPLORE.exe

%System%\\RAVMOND.exe

%System%\\Update_OB.exe

%System%\\TkBellExe.exe

%System%\\hxdef.exe

%System%\\Kernel66.dll

%System%\\ODBC16.dll

%System%\\msjdbc11.dll

%System%\\MSSIGN30.DLL

%System%\\LMMIB20.DLL

%System%\\iexplorer.exe

B、在每个盘符下生成如下两个文件

AUTORUN.INF

CDROM.COM

使用户一双击盘符即会中毒

C、向注册表添加

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

"Hardware Profile"="%system%\\hxdef.exe"

"Microsoft Associates, Inc."="%system%\\iexplorer.exe"

"Program in Windows"="%system%\\IEXPLORE.exe"

"Protected Storage"="rundll32.exe mssign30.dll ondll_reg"

"Shell Extension"="%system%\\spollsv.exe"

"VFW Encoder/Decoder Settings"="rundll32.exe mssign30.dll ondll_reg"

"WinHelp"="%system%\\TkBellExe.exe"

"Shell Extension"="%system%\\spollsv.exe"

向注册表添加

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices

"SystemTra"="%Windor%\\CDPlay.EXE"

"COM++ System"="exploier.exe"

修改注册表

HKEY_CLASSES_ROOT\\txtfile\\shell\\open\\command

HKEY_LOCAL_MACHINE\\Software\\Classes\\txtfile\\shell\\open\\command

"默认"="vptray.exe %1"

向注册表添加

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows

"run"="RAVMOND.exe"

D、会创建一个名为 "Windows Management Protocol v.0 (experimental)"和"_reg"的两个服务,服务对应的病毒文件为msjdbc11.dll 和ondll_server。

E、随机开启一个端口,作为后门。

F、收集系统信息,存为C:\ETLOG.TXT,每行均以NETDI做为开头,并将在局域网中的密码信息保存到该文件中。

G、复制自身到所有共享目录中,文件名可能是以下之一:

WinRAR.exe

Internet Explorer.bat

Documents and Settings.txt.exe

Microsoft Office.exe

Windows Media Player.zip.exe

Support Tools.exe

WindowsUpdate.pif

Cain.pif

MSDN.ZIP.pif

autoexec.bat

findpass.exe

client.exe

i386.exe

winhlp32.exe

xcopy.exe

mmc.exe

H、会释放一个名为Exploier.exe文件用于将病毒体和EXE文件进行捆绑。互斥量为:my_10101!

I、搜索c-z的硬盘,如果发现可移动设备或网络映射,则在此设备中搜索扩展名为exe的文件,将原文件扩展名改为~ex,同时将病毒自身拷贝到此并和原文件同名。

解决方案:

A、 请使用金山毒霸2004年7月14日的病毒库可完全处理该病毒。

B、查杀完病毒后,请注意打上最新的系统补丁,特别是冲击波、震荡波的补丁

C、修改弱密码,强烈建议致少使用4个字母和4个数字的组合密码

D、养成良好习惯,不轻易打开即时通讯工具传来的网址,不打有附件的邮件

E、打开金山网镖和金山毒霸病毒防火墙,防止病毒进入系统。

随便看

 

百科全书收录594082条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2024/11/11 10:11:24