词条 | “五毒虫”变种AI(Worm.Supnot.ai) |
释义 | § 名称 “五毒虫”变种AI(Worm.Supnot.ai) § 相关资料 病毒信息: 病毒名称: Worm.Supnot.ai 中文名称: 五毒虫 威胁级别: 4A 病毒类型: 邮件蠕虫、漏洞蠕虫、黑客、后门 病毒类型: 木马 受影响系统:Win9x/WinNT/Win2K/WinXP/Win2003 破坏方式: A、病毒利用邮件、DCOM RPC漏洞、局域网进行疯狂传播,导致网络瘫痪等现象 B、开后门,等待黑客连接,造成泄密等损失 C、采用捆绑式感染系统中的EXE文件,损坏系统 D、将自身伪装成流行软件的新版本或者新软件的破解补丁等,诱使用户双击运 E、利用QQ散布带网址信息的消息,诱使用户下载病毒 F、盗取网络中的密码,送到病毒作者指定的信箱 发作条件: 运行后会通过邮件传播,将自己作为邮件的附件.也会通过拷贝自身到网络共享可写目录传播.另外 它还会对局域网的机器进行弱密码攻击,成功后也会拷贝自身到被攻击机器并执行。 发作现象: A、如果杀毒软件进程存在,则中止以下进程: KV KAV Duba NAV kill RavMon.exe Rfw.exe Gate McAfee Symantec SkyNet Rising B、对网络上的计算机的管理员密码,进行弱密码攻击,如果攻击成功的话,则病毒感染这台机器。 C、搜索邮件列表,并试图发电子邮件,电子邮件的附件一般名为: the hardcore game-.pif Sex in Office.rm.scr Deutsch BloodPatch!.exe s3msong.MP3.pif Me_nude.AVI.pif How to Crack all gamez.exe Macromedia Flash.scr SETUP.EXE Shakira.zip.exe dreamweaver MX (crack).exe StarWars2 - CloneAttack.rm.scr Industry Giant II.exe DSL Modem Uncapper.rar.exe joke.pif Britney spears nude.exe.txt.exe I am For u.doc.exe D、在所有目录中搜索后缀名为如下的的文件 .htm .sht .php .asp .dbx .tbb .adb .wab 从中找到邮件地址,并用自己的邮件系统发送邮件 E、搜索c-z的硬盘,如果发现可移动设备,进行下列操作: 搜索扩展名为exe的文件,将原文件扩展名改为zmx,同时将病毒自身拷贝到此并和原文件同名. F、搜索本地邮件客户端,如:Microsoft Outlook等,并回复所有收到的邮件: 如果原信件为: 标题: 原标题 发件人: @ 内容: <内容> 蠕虫回复的邮件就为: 标题: Re: 原标题 收件人: @ 内容: '' 写道: ==== > <原信件内容> > ==== <发件者的邮件服务器> 帐号自动回复: followed by one of the following: If you can keep your head when all about you Are losing theirs and blaming it on you; If you can trust yourself when all men doubt you, But make allowance for their doubting too; If you can wait and not be tired by waiting, Or, being lied about,don't deal in lies, Or, being hated, don't give way to hating, And yet don't look too good, nor talk too wise; ... ... more look to the attachment(更多请查看附件). > Get your FREE account now! < 附件为: (名字为下列之一) the hardcore game-.pif Sex in Office.rm.scr Deutsch BloodPatch!.exe s3msong.MP3.pif Me_nude.AVI.pif How to Crack all gamez.exe Macromedia Flash.scr SETUP.EXE Shakira.zip.exe dreamweaver MX (crack).exe StarWars2 - CloneAttack.rm.scr Industry Giant II.exe DSL Modem Uncapper.rar.exe joke.pif Britney spears nude.exe.txt.exe I am For u.doc.exe H,在下列目录中搜索扩展名为.txt, .pl, .wab, .adb, .tbb, .dbx, .asp, .php, .sht, and .htm的文件,并在这些文件中搜索email地址. %Windir%\\Local Settings \\Documents and Settings\\\\local settings Temporary Internet Files 21,通过自己的smtp引擎向搜索到的email地址发信,特征为: 发件人: 随机字符 标题:下列之一 test hi hello Mail Delivery System Mail Transaction Failed Server Report Status Error 内容: 下列之一 pass Mail failed. For further assistance, please contact! The message contains Unicode characters and has been sent as a binary attachment. It's the long-awaited film version of the Broadway hit. The message sent as a binary attachment. 附件: (下列之一) document readme doc text file data test message body 扩展名: .bat .exe .scr .pif G、将%Windir%\\Media设置为共享目录,名字为Media H、会监视用户密码,并将监视到的结果保存到 %System%/win32add.sys %System%/win32pwd.sys 格式如下 ftp://用户名1:密码1@IP1/ ftp://用户名2:密码2@IP2/ I、病毒如果发现QQ的“发送”按钮,则会自动发送如下信息之一: 你那瓜子形的形,那么白净,弯弯的一双眉毛,那么修长;水汪汪的一对眼睛,那么明亮! 你是花丛中的蝴蝶,是百合花中的蓓蕾。无论什么衣服穿到你的身上,总是那么端庄、好看。 在风吹干你的散发时,我简直着魔了:在闪闪发光的披肩柔发中,在淡淡入鬓的蛾眉问,在碧水漓漓的眼睛里……你竟是如此美丽可人! 你是一尊象牙雕刻的女神,大方、端庄、温柔、姻静,无一不使男人深深崇拜。 你其有点像天上的月亮,也像那闪烁的星星,可惜我不是诗人,否则,当写一万首诗来形容你的美丽。 春花秋月,是诗人们歌颂的情景,可是我对于它,却感到十分平凡。只有你嵌着梨涡的笑容,才是我眼中最美的偶象。 你笑起来的样子最为动人,两片薄薄的嘴唇在笑,长长的眼睛在笑,腮上两个陷得很举动的酒窝也在笑. 你蹦蹦跳跳地走进来,一件红尼大衣,紧束着腰带,显得那么轻盈,那么矫健,简直就像天边飘来一朵红云。 远远地,我目送你的背影,你那用一束大红色绸带扎在脑后的黑发,宛如幽静的月夜里从山涧中倾泻下来的一壁瀑布。 其实,我最先认识你是在照片上。照片上的你托腮凝眸,若有所思。那份温柔、那份美感、那份妩媚,使我久久难以忘怀 你是那样地美,美得象一首抒情诗。你全身充溢着少女的纯情和青春的风采。留给我印象最深的是你那双湖水般清澈的眸子,以及长长的、一闪一闪的睫毛。像是探询,像是关切,像是问候。 后面跟上“ 这是你需要的东西: 下载地址1 下载地址2 如:其实,我最先认识你是在照片上。照片上的你托腮凝眸,若有所思。那份温柔、那份美感、那份妩媚,使我久久难以忘怀。这是你需要的东西: 下载地址1 下载地址2 下载内容为病毒文件。链接为 病毒文件,用户运行后即会中毒(图) 技术特点: A、木马运行后会将自身复制到系统目录下: %SystemRoot%\\SYSTRA.EXE %System%\\hxdef.exe %System%\\IEXPLORE.EXE %System%\\RAVMOND.exe %System%\\realsched.exe %System%\\vptray.exe %System%\\kernel66.dll 在系统安装目录中生成 %System%\\ODBC16.dll %System%\\msjdbc11.dll %System%\\MSSIGN30.DLL %System%\\LMMIB20.DLL %System%\etMeeting.exe %System%\\spollsv.exe %system%\\internet.exe %System%\\svch0st.exe 在每个盘符下生成如下两个文件 AUTORUN.INF COMMAND.EXE 使用户一双击盘符即会中毒 B、在注册表主键: HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 下添加如下键值: "WinHelp"="%SYSTEM%"\\realsched.exe" "Hardware Profile" ="%SYSTEM%"\\hxdef.exe" "Mircorsoft NetMeeting Associates, Inc."="NetMeeting.exe" "Program In Windows"="%system%\\IEXPLORE.EXE" "VFW Encoder/Decoder Settings"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg" "Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg" "Shell Extension"="%system%\\spollsv.exe" "Network Associates, Inc."="internet.exe" "S0undMan"="svch0st.exe" 在注册表主键 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\runServices 下添加如下键值: "SystemTra"="%Windor%\\SysTra.EXE" 对于win98/me系统 会对%system%\\win.ini文件内添加如下内容: run=%System%\\RAVMOND.exe C、会创建一个名为 "Windows Management Protocol v.0 (experimental)"和"_reg"的两个服务,服务对应的病毒文件为msjdbc11.dll 和ondll_server。 D、随机开启一个端口,作为后门。 E、收集系统信息,存为C:\ETLOG.TXT,每行均以NETDI做为开头 F、复制自身到所有共享目录中,文件名可能是以下之一: WinRAR.exe Internet Explorer.bat Documents and Settings.txt.exe Microsoft Office.exe Windows Media Player.zip.exe Support Tools.exe WindowsUpdate.pif Cain.pif MSDN.ZIP.pif autoexec.bat findpass.exe client.exe i386.exe winhlp32.exe xcopy.exe mmc.exe G、会释放一个名为suchost.exe文件用于将病毒体和EXE文件进行捆绑。互斥量为:I090909! 解决方案: A、 请使用金山毒霸2004年7月14日的病毒库可完全处理该病毒。 B、查杀完病毒后,请注意打上最新的系统补丁,特别是冲击波、震荡波的补丁 C、修改弱密码,强烈建议致少使用4个字母和4个数字的组合密码 D、养成良好习惯,不轻易打开即时通讯工具传来的网址,不打有附件的邮件 E、打开金山网镖和金山毒霸病毒防火墙,防止病毒进入系统。 |
随便看 |
百科全书收录594082条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。