I-Worm/Supkp.af

病毒长度：152,064 字节

病毒类型：网络蠕虫

危害等级：**

影响平台：Win9X/2000/XP/NT/Me/2003

I-Worm/Supkp.af是群发邮件蠕虫，企图发送自身到在从感染计算机上找到的所有邮件地址。利用DCOM RPC 漏洞TCP端口135进行传播，还通过网络共享进行传播。邮件的发件人地址是伪造的，主题和邮件正文都是变化的。

传播过程及特征：

1.复制自身：

%Windir%\\CDPlay.exe

%Windir%\\Exploier.exe

%System%\\IEXPLORE.exe

%System%\\RAVMOND.exe

%System%\\WinHelp.exe

%System%\\Update_OB.exe

%System%\\TkBellExe.exe

%System%\\hxdef.exe

%System%\\Kernel66.dll

2.在硬盘根目录下生成文件

CDROM.COM autorun.inf .

在系统目录下生成

iexpolrer.exe -- 61,440 字节

搜索.exe文件,一旦成功便创建文件：

%System%\\win~.uuu --- 设为.exe文件

3.iexpolrer.exe文件运行有如下操作：

/复制自身为%System%\\spollsv.exe

/修改注册表：

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]

"Shell Extension" = "%system%\\spollsv.exe"

/试图在有DCOM RPC漏洞的机器的系统目录下创建文件a，a为一个FTP脚本文件用于获取感染系统里的hxdef.exe.

/可能在系统目录下生成文件：results.txt ，win2k.txt ，winxp.txt

4.修改注册表：

/添加键值

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]

"Winhelp"="%system%\\TkBellExe.exe..."

"Microsoft Associates, Inc."="%system%\\iexplorer.exe"

"Hardware Profile"="%system%\\hxdef.exe..."

"Program in Windows"="%system%\\IEXPLORE.exe"

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices]

"SystemTra"="%Windor%\\CDPlay.EXE"

"COM++ System"="exploier.exe"

[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows]

"run"="RAVMOND.exe"

/修改键值

[HKEY_CLASSES_ROOT\\txtfile\\shell\\open\\command]

"(Default)"="Update_OB.exe%1"

[HKEY_LOCAL_MACHINE\\Software\\Classes\\txtfile\\shell\\open\\command]

"(Default)"="Update_OB.exe%1"

/生成子键

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\ZMXLIB1

5.停止下列服务：

Rising Realtime Monitor Service

Symantec Antivirus Server

Symantec Client

6.结束包含下列字符串的进程(涵括了毒霸、瑞星、天网、诺顿、KILL、McAfee等杀毒及防火墙软件)：

KAV Duba NAV kill RavMon.exe Rfw.exe Gate McAfee Symantec SkyNet rising

7.搜索所有的移动硬盘（包括U盘等）和映射驱动器，将其中的.EXE文件的扩展名修改为.zmx，并设置为隐藏和系统属性，然后将病毒自身取代原文件。

8.监听端口6000，将盗取的密码等信息保存在C:\etLog.txt中，并发送给攻击者。

9.通过将自身复制到KaZaA的共享文件夹，可以通过P2P软件进行传播。共享的文件名是wrar320sc、REALONE、BlackIcePCPSetup_creak、Passware5.3、word_pass_creak、HEROSOFT、orcard_original_creak、rainbowcrack-1.1-win、W32Dasm、setup等，文件的扩展名可能是.exe、.src、.bat、.pif。

10.复制自身到网络共享目录及其子目录下，文件名为WinRAR.exe 、Internet Explorer.bat 、Documents and Settings.txt.exe 、Microsoft Office.exe 、Windows Media Player.zip.exe 、Support Tools.exe 、WindowsUpdate.pif 、Cain.pif 、MSDN.ZIP.pif 、autoexec.bat 、findpass.exe 、client.exe 、i386.exe 、winhlp32.exe 、xcopy.exe 、mmc.exe等。

11.扫描附近的电脑是否存在漏洞和弱口令，并利用内置的弱口令库进行登陆。一旦成功登陆到远程计算机，蠕虫便复制自身为

\\\\<计算机名>\\admin$\\%System%\etManager.exe 并将此文件作为"Windows Management NetWork Service Extensions"服务开始运行

12.进入 MAPI-compliant 邮件客户端（包括：Microsoft Outlook）邮箱后会回复收件箱中的所有邮件。附件名可能为：

the hardcore game-.pif

Sex in Office.rm.scr

Deutsch BloodPatch!.exe

s3msong.MP3.pif

Me_nude.AVI.pif

How to Crack all gamez.exe

Macromedia Flash.scr

SETUP.EXE

Shakira.zip.exe

dreamweaver MX (crack).exe

StarWars2 - CloneAttack.rm.scr

Industry Giant II.exe

DSL Modem Uncapper.rar.exe

joke.pif

Britney spears nude.exe.txt.exe

I am For u.doc.exe

13.从下列目录的.txt, .pl, .wab, .adb, .tbb, .dbx, .asp, .php,

.sht, .htm 类型文件中搜索邮件地址

%Windir%\\Local Settings

%Documents and Settings%\\\\local settings

Temporary Internet Files

并用自带的SMTP引擎发送自身到上述地址，邮件特征：

发件人：变化的

主题：下列之一

test

hi

hello

Mail Delivery System

Mail Transaction Failed

Server Report

Status

Error

附件：附件名为下列之一，扩展名为.bat/.exe/.scr/.pif

document

readme

doc

text

file

data

test

message

body

14.共享%WinDir%\\Media文件夹，共享文件夹名是Media。

注：%Windir%为变量，一般为C:\\Windows 或 C:\\Winnt；

%System%为变量，一般为C:\\Windows\\System (Windows 95/98/Me), C:\\Winnt\\System32 (Windows NT/2000),

或 C:\\Windows\\System32 (Windows XP)。