§ 简介

中文名称: 五毒虫

病毒类型:

邮件蠕虫、漏洞蠕虫、黑客、后门

病毒类型: 木马

受影响系统:

Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000，Windows XP，Windows Server 2003

病毒变种:Worm.Supnot.ac

Worm.Supnot.ad

Worm.Supnot.ae

Worm.Supnot.af

Worm.Supnot.ag

Worm.Supnot.ah

Worm.Supnot.ai

Worm.Supnot.aj

★ 目前该病毒中危害级别最高的 Worm.Supnot.ai/Worm.Supnot.aj 两个变种。

§ 一、病毒状况

“五毒虫”病毒是继震荡波病毒之后又一巨大危害的病毒，初步分析此病毒为国人所编写。它综合了“冲击波”、“QQ小尾巴”、“MYDOOM”、“恶鹰”、“木马”等众多病毒危害于一身，将对电脑用户造成严重危害。

中毒后的计算机可能会出现如下的所有或任意一种现象：向外疯狂发送垃圾邮件、60秒倒计时重启、向QQ好友发送垃圾信息、打不开杀毒软件、向网络内其他机器攻击、上网速度缓慢等。

这个病毒目前几乎应用了所有病毒和木马的攻击和传播技术，不但危害严重，而且传播方式非常多样，极其讨厌。原因是很多病毒源代码在网上都有公布，此病毒作者将几个个危害严重的病毒代码重新组合编写，集五毒于一毒。

该病毒不仅可以中止各类杀毒软件进程，而且还可通过邮件大量传播，使更多用户受到感染。目前它可对系统造成更加严重威胁，不仅可打开系统后门让黑客更容易连结到用户计算机，拦截IE、QQ，网络游戏等应用程序，造成信息泄密。

该病毒作者利用了多种重大病毒源代码进行编写，目前它已经几乎具有了所有的病毒破坏方式：结束杀毒软件进程、邮件疯狂传播、QQ引诱消息传播、据有“木马”性质来盗取网络游戏账号等各种应用程序的密码、对网络造成严重堵塞。

另外，“五毒虫”病毒还会利用QQ发送带网址的消息，欺骗用户下载此病毒。

该病毒也利用了邮件进行传播，并会发送大量的垃圾邮件。带毒邮件的附件名如下，请用户一定要小心，不要上当中招。

§ 二、技术细节

以下为该病毒的行为：

A、病毒运行后会将自身复制到系统目录下：

%SystemRoot%\\SYSTRA.EXE

%System%\\hxdef.exe

%System%\\IEXPLORE.EXE

%System%\\RAVMOND.exe

%System%\\realsched.exe

%System%\\vptray.exe

%System%\\kernel66.dll

B、在系统安装目录中生成

%System%\\ODBC16.dll

%System%\\msjdbc11.dll

%System%\\MSSIGN30.DLL

%System%\\LMMIB20.DLL

%System%\etMeeting.exe

%Windir%\\suchost.exe

%System%\\spollsv.exe

在每个盘符下生成如下两个文件

AUTORUN.INF

COMMAND.EXE

使用户一双击盘符即会中毒

C、在注册表主键：

HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

下添加如下键值：

"WinHelp"="%SYSTEM%"\\realsched.exe"

"Hardware Profile" ="%SYSTEM%"\\hxdef.exe"

"Mircorsoft NetMeeting Associates, Inc."="NetMeeting.exe"

"Program In Windows"="%system%\\IEXPLORE.EXE"

"VFW Encoder/Decoder Settings"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"

"Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"

"Shell Extension"="%system%\\spollsv.exe"

对注册表主键：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\txtfile\\shell\\open\\command

修改如下键值

"默认"="vptray.exe %1"

在注册表主键

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\runServices

下添加如下键值：

"SystemTra"="%Windor%\\SysTra.EXE"

"COM++ System"="suchost.exe"

对于win98/me系统 会对%system%\\win.ini文件内添加如下内容：

run=%System%\\RAVMOND.exe

D、会创建一个名为 "Windows Management Protocol v.0 (experimental)"和"_reg"的两个服务，服务对应的病毒文件为msjdbc11.dll，入口参数为ondll_server。

E、随机开启一个端口，作为后门。

F、收集系统信息，存为C:\ETLOG.TXT，每行均以NETDI做为开头

G、复制自身到所有共享目录中，文件名可能是以下之一：

WinRAR.exe

Internet Explorer.bat

Documents and Settings.txt.exe

Microsoft Office.exe

Windows Media Player.zip.exe

Support Tools.exe

WindowsUpdate.pif

Cain.pif

MSDN.ZIP.pif

autoexec.bat

findpass.exe

client.exe

i386.exe

winhlp32.exe

xcopy.exe

mmc.exe

G、会释放一个名为suchost.exe文件用于将病毒体和EXE文件进行捆绑。互斥量为：I090909!

H、会在网络映射磁盘或可移动磁盘中搜索EXE文件，替换原文件，并将原文件改名为~ex，同时生成tools.rar，压缩包中包括Tools.scr文件为病毒程序。

§ 三、预防及中毒解决方案

１、目前，国内外著名杀毒软件都对病毒库进行了升级更新，请各用户注意及时升级杀毒软件。

a）启动漏洞扫描，并把有漏洞的机器安装漏洞修复程序，以保证电脑免受病毒攻击；

b）执行弱密码及可写共享扫描，并立即修正，以切断“五毒虫”传播途径。

２、如果中了该病毒，启动不了杀毒软件主程序的情况下，可以通过如下步骤解决。

第一步：马上使用杀毒软件开始菜单程序内的单独升级模块进行升级；

第二步：启动计算机到安全模式，启动杀毒软件进行查杀；

目前国内著名厂商如：金山、瑞星，国外诺顿等都拥有单独的升级模块，可以轻易的解决该病毒。

★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★

★ “五毒虫”专杀工具 (版本：2004.7.14.9) ----查杀恶邮差最新8变种(即“五毒虫")

毒霸下载　http://www.kingsoft.com/download/downfile/duba/DB_Supnot.COM

★ 下载使用3721五毒虫病毒专杀工具，即可清理该病毒及其变种。

http://download.3721.com/download/supnotkiller.com

§ 四、忠告

良好的上网习惯可以减轻中毒的几率：

1、查杀完病毒后，请注意打上最新的系统补丁，特别是冲击波、震荡波的补丁

2、修改弱密码，强烈建议致少使用4个字母和4个数字的组合密码

3、养成良好习惯，不轻易打开即时通讯工具传来的网址，不打有附件的邮件

4、打开金山网镖和金山毒霸病毒防火墙，防止病毒进入系统。

• 张维智
• 张维洲烈士
• 张维海
• 张维烈士
• 张维立烈士
• 张维翰
• 张维良
• 张维芝烈士
• 张维街烈士
• 张维迎
• 张绵宁
• 张绶庆
• 张绾
• 张绿波
• 张缅
• 张缉光
• 张缘波
• 张缙
• 张缵
• 张罗女子烈士
• 张罗狗孜烈士
• 张羊仔烈士
• 张美
• 张美君
• 张美如