请输入您要查询的百科知识:

 

词条 I-Worm/Supkp.s
释义

I-Worm/Supkp.s

病毒长度:128,000 bytes

病毒类型:网络蠕虫

危害等级:**

影响平台:Win9X/2000/XP/NT/Me

I-Worm/Supkp.s是用C++编写并用JDPack和ASPack压缩过的群发邮件蠕虫,企图发送自身到在从感染计算机上找到的所有邮件地址。利用DCOM RPC 漏洞进行传播。邮件的发件人地址是伪造的,主题和邮件正文都是变化的。

传播过程及特征:

1.复制自身为:

%Windir%\\Systra.exe

%System%\\Hxdef.exe

%System%\\iexplore.exe

%System%\\RAVMOND.exe

%System%\\Kernel66.dll -- 属性为隐藏、只读、系统文件。

%System%\\WinHelp.exe

生成文件(蠕虫的后门组件):

%System%\\ODBC16.dll -- 53,760 bytes

%System%\\Msjdbc11.dll -- 53,760 bytes

%System%\\MSSIGN30.DLL -- 53,760 bytes

%System%\\LMMIB20.DLL -- 53,760 bytes

生成文件:

%System%\etMeeting.exe -- 61,440 bytes

%System%\\spollsv.exe -- 61,440 bytes

在蠕虫执行的文件夹下可能生成下列文件:

a

results.txt

win2k.txt

winxp.txt

2.修改注册表:

添加下列键值:

"Hardware Profile"="%System%\\hxdef.exe

"Microsoft NetMeeting Associates, Inc."="NetMeeting.exe"

"Program in Windows"="%System%\\IEXPLORE.EXE"

"Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"

"Shell Extension"="%System%\\spollsv.exe"

"VFW Encoder/Decoder Settings"="RUNDLL32.exe MSSIGN30.DLL ondll_reg"

"WinHelp"="%System%\\WinHelp.exe"到HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run;

添加键值:"SystemTra"="%Windir%\\Systra.exe"到HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices;

添加键值:"run"="RAVMOND.exe"到HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows;

可能生成子键:HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\ZMXLIB1。

3.终止下列服务:

Rising Realtime Monitor Service

Symantec Antivirus Server

Symantec Client

创建服务:

"Windows Management Protocol v.0 (experimental)" -- 映射到"Rundll32.exe msjdbc11.dll ondll_server"。

"_reg" -- 映射到"Rundll32.exe msjdbc11.dll ondll_server"。

4.结束包含下列字符串的所有进程:

KV KAV Duba NAV kill RavMon.exe Rfw.exe

Gate McAfee Symantec SkyNet rising

5.在端口6000运行后门程序,此程序用来盗取系统信息并将其保存到C:\etlog.txt,然后蠕虫将盗取的信息发送给黑客。

6.复制自身到所有的网络共享文件夹及其子文件夹下。

7.扫描网络内的所有计算机,企图用内置密码库里的密码获取管理员登陆权限。一旦成功登陆到远程计算机,蠕虫便复制自身为

\\\\<计算机名>\\admin$\\%System%\etManager.exe 并将此文件作为"Windows Management NetWork Service Extensions"服务开始运行。

8.病毒会在Explorer.exe或Taskmgr.exe里注入一线程,用来探测蠕虫是否运行,如果没有运行或已经被删除,那么它会尝试进行复制并运行。

9.在任意一个端口开始运行FTP服务,不需任何验证,这样便意味着任何人都可以访问感染病毒的计算机。

10.在安装目录下创建一个共享:"%Windir%\\Media"。

11.在除A和B的所有驱动器的根目录下生成一个压缩包文件,结构为: <filename>.<RAR/ZIP>

<filename>为下列之一:

WORK 、setup 、Important 、bak 、letter 、pass

此文件包含了一个蠕虫副本文件,结构为 <filename>.<exe/com/pif/scr>

<filename>下列之一:

WORK 、setup 、Important 、book 、email 、PassWord

12.在除光驱外的所有驱动器的根目录下生成文件Autorun.inf,并在此复制自身为Command.com,导致你一双击驱动器图标蠕虫便开始运行的后果。

13.扫描所有的驱动器里的所有.exe文件蠕虫将之扩展名改为.zmx,并设此文件属性设为隐藏和系统文件,然后以此文件的原始文件名复制自身。

14.进入 MAPI-compliant 邮件客户端(包括:Microsoft Outlook)邮箱后会回复收件箱中的所有邮件。

15.从硬盘驱动器和只读驱动器下的下列类型文件中搜索邮件地址:.txt .htm .sht .php .asp .dbx .tbb .adb .pl

.wab;

扫描系统WAB文件,临时文件夹和硬盘,用以发现合法的邮件地址。利用自带的SMTP引擎发送自身到找到的邮件地址,邮件特征:

发件人:随机

主题:下列之一

test

hi

hello

Mail Delivery System

Mail Transaction Failed

Server Report

Status

Error

附件:扩展名为.exe /.scr /.pif /.cmd /.bat /.zip /.rar等的文件

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2024/12/23 18:35:27