| 词条 | “五毒虫”病毒 |
| 释义 | § 简介 中文名称: 五毒虫 病毒类型: 邮件蠕虫、漏洞蠕虫、黑客、后门 病毒类型: 木马 受影响系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000,Windows XP,Windows Server 2003 病毒变种:Worm.Supnot.ac Worm.Supnot.ad Worm.Supnot.ae Worm.Supnot.af Worm.Supnot.ag Worm.Supnot.ah Worm.Supnot.ai Worm.Supnot.aj ★ 目前该病毒中危害级别最高的 Worm.Supnot.ai/Worm.Supnot.aj 两个变种。 § 一、病毒状况 “五毒虫”病毒是继震荡波病毒之后又一巨大危害的病毒,初步分析此病毒为国人所编写。它综合了“冲击波”、“QQ小尾巴”、“MYDOOM”、“恶鹰”、“木马”等众多病毒危害于一身,将对电脑用户造成严重危害。 中毒后的计算机可能会出现如下的所有或任意一种现象:向外疯狂发送垃圾邮件、60秒倒计时重启、向QQ好友发送垃圾信息、打不开杀毒软件、向网络内其他机器攻击、上网速度缓慢等。 这个病毒目前几乎应用了所有病毒和木马的攻击和传播技术,不但危害严重,而且传播方式非常多样,极其讨厌。原因是很多病毒源代码在网上都有公布,此病毒作者将几个个危害严重的病毒代码重新组合编写,集五毒于一毒。 该病毒不仅可以中止各类杀毒软件进程,而且还可通过邮件大量传播,使更多用户受到感染。目前它可对系统造成更加严重威胁,不仅可打开系统后门让黑客更容易连结到用户计算机,拦截IE、QQ,网络游戏等应用程序,造成信息泄密。 该病毒作者利用了多种重大病毒源代码进行编写,目前它已经几乎具有了所有的病毒破坏方式:结束杀毒软件进程、邮件疯狂传播、QQ引诱消息传播、据有“木马”性质来盗取网络游戏账号等各种应用程序的密码、对网络造成严重堵塞。 另外,“五毒虫”病毒还会利用QQ发送带网址的消息,欺骗用户下载此病毒。 该病毒也利用了邮件进行传播,并会发送大量的垃圾邮件。带毒邮件的附件名如下,请用户一定要小心,不要上当中招。 § 二、技术细节 以下为该病毒的行为: A、病毒运行后会将自身复制到系统目录下: %SystemRoot%\\SYSTRA.EXE %System%\\hxdef.exe %System%\\IEXPLORE.EXE %System%\\RAVMOND.exe %System%\\realsched.exe %System%\\vptray.exe %System%\\kernel66.dll B、在系统安装目录中生成 %System%\\ODBC16.dll %System%\\msjdbc11.dll %System%\\MSSIGN30.DLL %System%\\LMMIB20.DLL %System%\etMeeting.exe %Windir%\\suchost.exe %System%\\spollsv.exe 在每个盘符下生成如下两个文件 AUTORUN.INF COMMAND.EXE 使用户一双击盘符即会中毒 C、在注册表主键: HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 下添加如下键值: "WinHelp"="%SYSTEM%"\\realsched.exe" "Hardware Profile" ="%SYSTEM%"\\hxdef.exe" "Mircorsoft NetMeeting Associates, Inc."="NetMeeting.exe" "Program In Windows"="%system%\\IEXPLORE.EXE" "VFW Encoder/Decoder Settings"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg" "Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg" "Shell Extension"="%system%\\spollsv.exe" 对注册表主键: HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\txtfile\\shell\\open\\command 修改如下键值 "默认"="vptray.exe %1" 在注册表主键 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\runServices 下添加如下键值: "SystemTra"="%Windor%\\SysTra.EXE" "COM++ System"="suchost.exe" 对于win98/me系统 会对%system%\\win.ini文件内添加如下内容: run=%System%\\RAVMOND.exe D、会创建一个名为 "Windows Management Protocol v.0 (experimental)"和"_reg"的两个服务,服务对应的病毒文件为msjdbc11.dll,入口参数为ondll_server。 E、随机开启一个端口,作为后门。 F、收集系统信息,存为C:\ETLOG.TXT,每行均以NETDI做为开头 G、复制自身到所有共享目录中,文件名可能是以下之一: WinRAR.exe Internet Explorer.bat Documents and Settings.txt.exe Microsoft Office.exe Windows Media Player.zip.exe Support Tools.exe WindowsUpdate.pif Cain.pif MSDN.ZIP.pif autoexec.bat findpass.exe client.exe i386.exe winhlp32.exe xcopy.exe mmc.exe G、会释放一个名为suchost.exe文件用于将病毒体和EXE文件进行捆绑。互斥量为:I090909! H、会在网络映射磁盘或可移动磁盘中搜索EXE文件,替换原文件,并将原文件改名为~ex,同时生成tools.rar,压缩包中包括Tools.scr文件为病毒程序。 § 三、预防及中毒解决方案 1、目前,国内外著名杀毒软件都对病毒库进行了升级更新,请各用户注意及时升级杀毒软件。 a)启动漏洞扫描,并把有漏洞的机器安装漏洞修复程序,以保证电脑免受病毒攻击; b)执行弱密码及可写共享扫描,并立即修正,以切断“五毒虫”传播途径。 2、如果中了该病毒,启动不了杀毒软件主程序的情况下,可以通过如下步骤解决。 第一步:马上使用杀毒软件开始菜单程序内的单独升级模块进行升级; 第二步:启动计算机到安全模式,启动杀毒软件进行查杀; 目前国内著名厂商如:金山、瑞星,国外诺顿等都拥有单独的升级模块,可以轻易的解决该病毒。 ★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★ ★ “五毒虫”专杀工具 (版本:2004.7.14.9) ----查杀恶邮差最新8变种(即“五毒虫") 毒霸下载 http://www.kingsoft.com/download/downfile/duba/DB_Supnot.COM ★ 下载使用3721五毒虫病毒专杀工具,即可清理该病毒及其变种。 http://download.3721.com/download/supnotkiller.com § 四、忠告 良好的上网习惯可以减轻中毒的几率: 1、查杀完病毒后,请注意打上最新的系统补丁,特别是冲击波、震荡波的补丁 2、修改弱密码,强烈建议致少使用4个字母和4个数字的组合密码 3、养成良好习惯,不轻易打开即时通讯工具传来的网址,不打有附件的邮件 4、打开金山网镖和金山毒霸病毒防火墙,防止病毒进入系统。 |
| 随便看 |
百科全书收录594082条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。