| 词条 | “五毒虫”变种AJ(Worm.Supnot.aj) |
| 释义 | § 名称 “五毒虫”变种AJ(Worm.Supnot.aj) § 相关资料 病毒信息: 病毒名称: Worm.Supnot.aj 中文名称: 五毒虫 威胁级别: 3B 病毒类型: 邮件蠕虫、漏洞蠕虫、黑客、后门 病毒类型: 木马 受影响系统:Win9x/WinNT/Win2K/WinXP/Win2003 破坏方式: A、病毒利用邮件、DCOM RPC漏洞、局域网进行疯狂传播,导致网络瘫痪等现象 B、开后门,等待黑客连接,造成泄密等损失 C、采用捆绑式感染系统中的EXE文件,损坏系统 发作现象: A、如果杀毒软件进程存在,则中止以下进程: KV KAV Duba NAV kill RavMon.exe Rfw.exe Gate McAfee Symantec SkyNet Rising B、如果杀毒软件服务存在,则中止以下服务: Symantec AntiVirus Client Symantec AntiVirus Server Rising Realtime Monitor Service C、对网络上的计算机的管理员密码,进行弱密码攻击,如果攻击成功的话,则病毒感染这台机器。 D、搜索邮件列表,并试图发电子邮件,电子邮件的附件一般名为: the hardcore game-.pif Sex in Office.rm.scr Deutsch BloodPatch!.exe s3msong.MP3.pif Me_nude.AVI.pif How to Crack all gamez.exe Macromedia Flash.scr SETUP.EXE Shakira.zip.exe dreamweaver MX (crack).exe StarWars2 - CloneAttack.rm.scr Industry Giant II.exe DSL Modem Uncapper.rar.exe joke.pif Britney spears nude.exe.txt.exe I am For u.doc.exe E、在所有目录中搜索后缀名为如下的的文件 .txt, .pl, .wab, .adb, .tbb, .dbx, .asp, .php, .sht, and .htm 从中找到邮件地址,并用自己的邮件系统发送邮件 技术特点: A、病毒运行后会在系统目录生成如下文件: %SystemRoot%\\CDPlay.exe %System%\\iexplore.exe %System%\\RAVMOND.exe %System%\\WinHelp.exe %System%\\Update_OB.exe %System%\\TkBellExe.exe %System%\\hxdef.exe %System%\\Kernel66.dll B、在每个盘符下生成如下两个文件 AUTORUN.INF CDROM.COM 使用户一双击盘符即会中毒 C、向注册表添加 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run "Hardware Profile"="%system%\\hxdef.exe" "Microsoft Associates, Inc."="%system%\\iexplorer.exe" "Program in Windows"="%system%\\IEXPLORE.exe" "Protected Storage"="rundll32.exe mssign30.dll ondll_reg" "Shell Extension"="%system%\\spollsv.exe" "VFW Encoder/Decoder Settings"="rundll32.exe mssign30.dll ondll_reg" "WinHelp"="%system%\\TkBellExe.exe" "Shell Extension"="%system%\\spollsv.exe" 向注册表添加 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices "SystemTra"="%Windor%\\CDPlay.EXE" "COM++ System"="exploier.exe"\\ 修改注册表 HKEY_CLASSES_ROOT\\txtfile\\shell\\open\\command HKEY_LOCAL_MACHINE\\Software\\Classes\\txtfile\\shell\\open\\command "默认"="vptray.exe %1" 向注册表添加 HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows "run"="RAVMOND.exe" D、会创建一个名为 "Windows Management Protocol v.0 (experimental)"和"_reg"的两个服务,服务对应的病毒文件为msjdbc11.dll 和ondll_server。 E、随机开启一个端口,作为后门。 F、收集系统信息,存为C:\ETLOG.TXT,每行均以NETDI做为开头,并将在局域网中的密码信息保存到该文件中。 G、复制自身到所有共享目录中,文件名可能是以下之一: WinRAR.exe Internet Explorer.bat Documents and Settings.txt.exe Microsoft Office.exe Windows Media Player.zip.exe Support Tools.exe WindowsUpdate.pif Cain.pif MSDN.ZIP.pif autoexec.bat findpass.exe client.exe i386.exe winhlp32.exe xcopy.exe mmc.exe H、会释放一个名为Exploier.exe文件用于将病毒体和EXE文件进行捆绑。互斥量为:my_10101! I、搜索c-z的硬盘,如果发现可移动设备或网络映射,则在此设备中搜索扩展名为exe的文件,将原文件扩展名改为~ex,同时将病毒自身拷贝到此并和原文件同名。 解决方案: A、 请使用金山毒霸2004年7月14日的病毒库可完全处理该病毒。 B、查杀完病毒后,请注意打上最新的系统补丁,特别是冲击波、震荡波的补丁 C、修改弱密码,强烈建议致少使用4个字母和4个数字的组合密码 D、养成良好习惯,不轻易打开即时通讯工具传来的网址,不打有附件的邮件 E、打开金山网镖和金山毒霸病毒防火墙,防止病毒进入系统。 |
| 随便看 |
百科全书收录594082条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。