“Worm/Supkp.w”的意思、由来-中文百科全书

I-Worm/Supkp.w是用C++编写并用JDPack和ASPack压缩过的群发邮件蠕虫，企图发送自身到在从感染计算机上找到的所有邮件地址。利用DCOM RPC 漏洞TCP端口135进行传播。邮件的发件人地址是伪造的，主题和邮件正文都是变化的。

传播过程及特征:

1.复制自身为：

%Windir%\\Systra.exe

%System%\\Hxdef.exe

%System%\\iexplore.exe

%System%\\RAVMOND.exe

%System%\\Kernel66.dll -- 属性为隐藏、只读、系统文件。

%System%\\WinHelp.exe

生成文件（蠕虫的后门组件）：

%System%\\ODBC16.dll -- 53,760 bytes

%System%\\Msjdbc11.dll -- 53,760 bytes

%System%\\MSSIGN30.DLL -- 53,760 bytes

%System%\\LMMIB20.DLL -- 53,760 bytes

生成文件：

%System%\etMeeting.exe -- 61,440 bytes

NetMeeting.exe文件运行有如下操作：

/复制自身为%System%\\spollsv.exe

/修改注册表：

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]

"Shell Extension" = "%system%\\spollsv.exe"

/试图在有DCOM RPC漏洞的机器的系统目录下创建文件a，a为一个FTP脚本文件用于获取感染系统里的hxdef.exe.

/可能在系统目录下生成文件：results.txt ，win2k.txt ，winxp.txt

2.修改注册表：

添加键值

[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]

"Hardware Profile"="%System%\\hxdef.exe

"Microsoft NetMeeting Associates, Inc."="NetMeeting.exe"

"Program in Windows"="%System%\\IEXPLORE.EXE"

"Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"

"Shell Extension"="%System%\\spollsv.exe"

"VFW Encoder/Decoder Settings"="RUNDLL32.exe MSSIGN30.DLL ondll_reg"

"WinHelp"="%System%\\WinHelp.exe"

[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices]

"SystemTra"="%Windir%\\Systra.exe"

[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows]

"run"="RAVMOND.exe"

生成子键：

[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\ZMXLIB1]

3.终止下列服务：

Rising Realtime Monitor Service

Symantec Antivirus Server

Symantec Client

创建服务：

"Windows Management Protocol v.0 (experimental)" -- 映射到"Rundll32.exe msjdbc11.dll ondll_server"。

"_reg" -- 映射到"Rundll32.exe msjdbc11.dll ondll_server"。

4.结束包含下列字符串的进程(涵括了江民、毒霸、瑞星、天网、诺顿、KILL、McAfee等杀毒及防火墙软件)：

KV KAV Duba NAV kill RavMon.exe Rfw.exe Gate McAfee Symantec SkyNet rising

5.在端口6000运行后门程序，此程序用来盗取系统信息并将其保存到C:\etlog.txt，然后蠕虫将盗取的信息发送给黑客。

6.复制自身到所有的网络共享文件夹及其子文件夹下，文件名如下：

WinRAR.exe

Internet Explorer.bat

Documents and Settings.txt.exe

Microsoft Office.exe

Windows Media Player.zip.exe

Support Tools.exe

WindowsUpdate.pif

Cain.pif

MSDN.ZIP.pif

autoexec.bat

findpass.exe

client.exe

i386.exe

winhlp32.exe

xcopy.exe

mmc.exe

7.扫描网络内的所有计算机，企图用内置密码库里的密码获取管理员登陆权限。一旦成功登陆到远程计算机，蠕虫便复制自身为

\\\\<计算机名>\\admin$\\%System%\etManager.exe 并将此文件作为"Windows Management NetWork Service Extensions"服务开始运行。

8.病毒会在Explorer.exe或Taskmgr.exe里注入一线程，用来探测蠕虫是否运行，如果没有运行或已经被删除，那么它会尝试进行复制并运行。

9.在任意一个端口开始运行FTP服务，不需任何验证，这样便意味着任何人都可以访问感染病毒的计算机。

10.创建网络共享目录："%Windir%\\Media"。

11.在除A和B的所有驱动器的根目录下生成一个压缩包文件，结构为： .

为下列之一：

WORK

setup

Important

bak

letter

pass

此文件包含了一个蠕虫副本文件，结构为 .

下列之一：

WORK

setup

Important

book

PassWord

12.在除光驱外的所有驱动器的根目录下生成文件Autorun.inf，并在此复制自身为Command.com，导致你一双击驱动器图标蠕虫便开始运行的后果。

13.扫描所有的驱动器里的所有.exe文件蠕虫将之扩展名改为.zmx，并设此文件属性设为隐藏和系统文件，然后以此文件的原始文件名复制自身。

14.进入 MAPI-compliant 邮件客户端（包括：Microsoft Outlook）邮箱后会回复收件箱中的所有邮件。

15.从硬盘驱动器和只读驱动器下的下列类型文件中搜索邮件地址：.txt .htm .sht .php .asp .dbx .tbb .adb .pl .wab；

扫描系统WAB文件，临时文件夹和硬盘，用以发现合法的邮件地址。

利用自带的SMTP引擎发送自身到找到的邮件地址，邮件特征：

发件人：随机

主题：下列之一

test

hello

Mail Delivery System

Mail Transaction Failed

Server Report

Status

Error

邮件正文：可能是下列之一

It's the long-awaited film version of the Broadway hit. The message sent as a binary attachment.

The message contains Unicode characters and has been sent as a binary attachment.

Mail failed. For further assistance, please contact!

附件：扩展名为.exe /.scr /.pif /.cmd /.bat /.zip /.rar等的文件

注：%Windir%为变量，一般为C:\\Windows 或 C:\\Winnt；

%System%为变量，一般为C:\\Windows\\System (Windows 95/98/Me), C:\\Winnt\\System32 (Windows NT/2000),

或 C:\\Windows\\System32 (Windows XP)。

词条	Worm/Supkp.w
释义	I-Worm/Supkp.w病毒长度：128,000 字节病毒类型：网络蠕虫危害等级：**影响平台：Win9X/2000/XP/NT/Me I-Worm/Supkp.w是用C++编写并用JDPack和ASPack压缩过的群发邮件蠕虫，企图发送自身到在从感染计算机上找到的所有邮件地址。利用DCOM RPC 漏洞TCP端口135进行传播。邮件的发件人地址是伪造的，主题和邮件正文都是变化的。传播过程及特征: 1.复制自身为： %Windir%\\Systra.exe %System%\\Hxdef.exe %System%\\iexplore.exe %System%\\RAVMOND.exe %System%\\Kernel66.dll -- 属性为隐藏、只读、系统文件。 %System%\\WinHelp.exe 生成文件（蠕虫的后门组件）： %System%\\ODBC16.dll -- 53,760 bytes %System%\\Msjdbc11.dll -- 53,760 bytes %System%\\MSSIGN30.DLL -- 53,760 bytes %System%\\LMMIB20.DLL -- 53,760 bytes 生成文件： %System%\etMeeting.exe -- 61,440 bytes NetMeeting.exe文件运行有如下操作： /复制自身为%System%\\spollsv.exe /修改注册表： [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run] "Shell Extension" = "%system%\\spollsv.exe" /试图在有DCOM RPC漏洞的机器的系统目录下创建文件a，a为一个FTP脚本文件用于获取感染系统里的hxdef.exe. /可能在系统目录下生成文件：results.txt ，win2k.txt ，winxp.txt 2.修改注册表：添加键值 [HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run] "Hardware Profile"="%System%\\hxdef.exe "Microsoft NetMeeting Associates, Inc."="NetMeeting.exe" "Program in Windows"="%System%\\IEXPLORE.EXE" "Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg" "Shell Extension"="%System%\\spollsv.exe" "VFW Encoder/Decoder Settings"="RUNDLL32.exe MSSIGN30.DLL ondll_reg" "WinHelp"="%System%\\WinHelp.exe" [HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices] "SystemTra"="%Windir%\\Systra.exe" [HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows] "run"="RAVMOND.exe" 生成子键： [HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\ZMXLIB1] 3.终止下列服务： Rising Realtime Monitor Service Symantec Antivirus Server Symantec Client 创建服务： "Windows Management Protocol v.0 (experimental)" -- 映射到"Rundll32.exe msjdbc11.dll ondll_server"。 "_reg" -- 映射到"Rundll32.exe msjdbc11.dll ondll_server"。 4.结束包含下列字符串的进程(涵括了江民、毒霸、瑞星、天网、诺顿、KILL、McAfee等杀毒及防火墙软件)： KV KAV Duba NAV kill RavMon.exe Rfw.exe Gate McAfee Symantec SkyNet rising 5.在端口6000运行后门程序，此程序用来盗取系统信息并将其保存到C:\etlog.txt，然后蠕虫将盗取的信息发送给黑客。 6.复制自身到所有的网络共享文件夹及其子文件夹下，文件名如下： WinRAR.exe Internet Explorer.bat Documents and Settings.txt.exe Microsoft Office.exe Windows Media Player.zip.exe Support Tools.exe WindowsUpdate.pif Cain.pif MSDN.ZIP.pif autoexec.bat findpass.exe client.exe i386.exe winhlp32.exe xcopy.exe mmc.exe 7.扫描网络内的所有计算机，企图用内置密码库里的密码获取管理员登陆权限。一旦成功登陆到远程计算机，蠕虫便复制自身为 \\\\<计算机名>\\admin$\\%System%\etManager.exe 并将此文件作为"Windows Management NetWork Service Extensions"服务开始运行。 8.病毒会在Explorer.exe或Taskmgr.exe里注入一线程，用来探测蠕虫是否运行，如果没有运行或已经被删除，那么它会尝试进行复制并运行。 9.在任意一个端口开始运行FTP服务，不需任何验证，这样便意味着任何人都可以访问感染病毒的计算机。 10.创建网络共享目录："%Windir%\\Media"。 11.在除A和B的所有驱动器的根目录下生成一个压缩包文件，结构为： . 为下列之一： WORK setup Important bak letter pass 此文件包含了一个蠕虫副本文件，结构为 . 下列之一： WORK setup Important book email PassWord 12.在除光驱外的所有驱动器的根目录下生成文件Autorun.inf，并在此复制自身为Command.com，导致你一双击驱动器图标蠕虫便开始运行的后果。 13.扫描所有的驱动器里的所有.exe文件蠕虫将之扩展名改为.zmx，并设此文件属性设为隐藏和系统文件，然后以此文件的原始文件名复制自身。 14.进入 MAPI-compliant 邮件客户端（包括：Microsoft Outlook）邮箱后会回复收件箱中的所有邮件。 15.从硬盘驱动器和只读驱动器下的下列类型文件中搜索邮件地址：.txt .htm .sht .php .asp .dbx .tbb .adb .pl .wab；扫描系统WAB文件，临时文件夹和硬盘，用以发现合法的邮件地址。利用自带的SMTP引擎发送自身到找到的邮件地址，邮件特征：发件人：随机主题：下列之一 test hi hello Mail Delivery System Mail Transaction Failed Server Report Status Error 邮件正文：可能是下列之一 It's the long-awaited film version of the Broadway hit. The message sent as a binary attachment. The message contains Unicode characters and has been sent as a binary attachment. Mail failed. For further assistance, please contact! 附件：扩展名为.exe /.scr /.pif /.cmd /.bat /.zip /.rar等的文件注：%Windir%为变量，一般为C:\\Windows 或 C:\\Winnt； %System%为变量，一般为C:\\Windows\\System (Windows 95/98/Me), C:\\Winnt\\System32 (Windows NT/2000), 或 C:\\Windows\\System32 (Windows XP)。
随便看	莲青山滑雪度假中心莲青山奇石莲然村莲茸布丁莲茸蛋黄角莲茸甘露酥莲茸葫芦果莲茸香酥鸭莲蓉蚕蛹酥莲蓉刺猬包莲蓉蛋糕莲蓉蛋黄五彩月饼莲蓉佛手包莲蓉糕莲蓉葫芦包莲蓉鸡卷莲蓉角莲蓉木瓜汤圆汤莲蓉皮蛋酥莲蓉寿桃包莲蓉酥饺莲蓉西米布丁莲蓉馅莲蓉杏仁月饼莲蓉洋芋枣