I-Worm/Supkp.s

病毒长度：128,000 bytes

病毒类型：网络蠕虫

危害等级：**

影响平台：Win9X/2000/XP/NT/Me

I-Worm/Supkp.s是用C++编写并用JDPack和ASPack压缩过的群发邮件蠕虫，企图发送自身到在从感染计算机上找到的所有邮件地址。利用DCOM RPC 漏洞进行传播。邮件的发件人地址是伪造的，主题和邮件正文都是变化的。

传播过程及特征:

1.复制自身为：

%Windir%\\Systra.exe

%System%\\Hxdef.exe

%System%\\iexplore.exe

%System%\\RAVMOND.exe

%System%\\Kernel66.dll -- 属性为隐藏、只读、系统文件。

%System%\\WinHelp.exe

生成文件（蠕虫的后门组件）：

%System%\\ODBC16.dll -- 53,760 bytes

%System%\\Msjdbc11.dll -- 53,760 bytes

%System%\\MSSIGN30.DLL -- 53,760 bytes

%System%\\LMMIB20.DLL -- 53,760 bytes

生成文件：

%System%\etMeeting.exe -- 61,440 bytes

%System%\\spollsv.exe -- 61,440 bytes

在蠕虫执行的文件夹下可能生成下列文件：

a

results.txt

win2k.txt

winxp.txt

2.修改注册表：

添加下列键值：

"Hardware Profile"="%System%\\hxdef.exe

"Microsoft NetMeeting Associates, Inc."="NetMeeting.exe"

"Program in Windows"="%System%\\IEXPLORE.EXE"

"Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"

"Shell Extension"="%System%\\spollsv.exe"

"VFW Encoder/Decoder Settings"="RUNDLL32.exe MSSIGN30.DLL ondll_reg"

"WinHelp"="%System%\\WinHelp.exe"到HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run；

添加键值："SystemTra"="%Windir%\\Systra.exe"到HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices；

添加键值："run"="RAVMOND.exe"到HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows；

可能生成子键：HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\ZMXLIB1。

3.终止下列服务：

Rising Realtime Monitor Service

Symantec Antivirus Server

Symantec Client

创建服务：

"Windows Management Protocol v.0 (experimental)" -- 映射到"Rundll32.exe msjdbc11.dll ondll_server"。

"_reg" -- 映射到"Rundll32.exe msjdbc11.dll ondll_server"。

4.结束包含下列字符串的所有进程：

KV KAV Duba NAV kill RavMon.exe Rfw.exe

Gate McAfee Symantec SkyNet rising

5.在端口6000运行后门程序，此程序用来盗取系统信息并将其保存到C:\etlog.txt，然后蠕虫将盗取的信息发送给黑客。

6.复制自身到所有的网络共享文件夹及其子文件夹下。

7.扫描网络内的所有计算机，企图用内置密码库里的密码获取管理员登陆权限。一旦成功登陆到远程计算机，蠕虫便复制自身为

\\\\<计算机名>\\admin$\\%System%\etManager.exe 并将此文件作为"Windows Management NetWork Service Extensions"服务开始运行。

8.病毒会在Explorer.exe或Taskmgr.exe里注入一线程，用来探测蠕虫是否运行，如果没有运行或已经被删除，那么它会尝试进行复制并运行。

9.在任意一个端口开始运行FTP服务，不需任何验证，这样便意味着任何人都可以访问感染病毒的计算机。

10.在安装目录下创建一个共享："%Windir%\\Media"。

11.在除A和B的所有驱动器的根目录下生成一个压缩包文件，结构为： <filename>.<RAR/ZIP>

<filename>为下列之一：

WORK 、setup 、Important 、bak 、letter 、pass

此文件包含了一个蠕虫副本文件，结构为 <filename>.<exe/com/pif/scr>

<filename>下列之一：

WORK 、setup 、Important 、book 、email 、PassWord

12.在除光驱外的所有驱动器的根目录下生成文件Autorun.inf，并在此复制自身为Command.com，导致你一双击驱动器图标蠕虫便开始运行的后果。

13.扫描所有的驱动器里的所有.exe文件蠕虫将之扩展名改为.zmx，并设此文件属性设为隐藏和系统文件，然后以此文件的原始文件名复制自身。

14.进入 MAPI-compliant 邮件客户端（包括：Microsoft Outlook）邮箱后会回复收件箱中的所有邮件。

15.从硬盘驱动器和只读驱动器下的下列类型文件中搜索邮件地址：.txt .htm .sht .php .asp .dbx .tbb .adb .pl

.wab；

扫描系统WAB文件，临时文件夹和硬盘，用以发现合法的邮件地址。利用自带的SMTP引擎发送自身到找到的邮件地址，邮件特征：

发件人：随机

主题：下列之一

test

hi

hello

Mail Delivery System

Mail Transaction Failed

Server Report

Status

Error

附件：扩展名为.exe /.scr /.pif /.cmd /.bat /.zip /.rar等的文件