I-Worm/Supkp.ac是一种网络蠕虫病毒，用VC++编写经ASPack压缩的群发邮件蠕虫病毒，发送自身到所有的邮件地址，利用DCOM RPC漏洞进行传播。

I-Worm/Supkp.ac

病毒长度：143,360 字节

病毒类型：网络蠕虫

危害等级：**

影响平台：Win9X/2000/XP/NT/Me

传播过程及特征：

1.复制自身为：

%Windir%\\SYSTRA.EXE

%System%\\hxdef.exe

%System%\\IEXPLORE.EXE

%System%\\RAVMOND.exe

%System%\\realsched.exe

%System%\\vptray.exe

%System%\\kernel66.dll

2.创建文件：

%System%\\ODBC16.dll --- 53,248 字节

%System%\\msjdbc11.dll --- 53,248 字节

%System%\\MSSIGN30.DLL --- 53,248 字节

%System%\\LMMIB20.DLL --- 53,248 字节

%Windir%\\suchost.exe --- 49,152 字节

%System%\etMeeting.exe --- 61,440 字节

3.NetMeeting.exe文件运行有如下操作：

/复制自身为%System%\\spollsv.exe

/修改注册表：

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]

"Shell Extension" = "%system%\\spollsv.exe"

/试图在有DCOM RPC漏洞的机器的系统目录下创建文件a，a为一个FTP脚本文件用于获取感染系统里的hxdef.exe.

/可能在系统目录下生成文件：results.txt ，win2k.txt ，winxp.txt

4.在所有驱动器的根目录下(除光驱外)生成文件AUTORUN.INF，并复制自身为COMMAND.EXE。

5.修改注册表：

在注册表启动项下添加键值

[HKEY_CLASSES_ROOT\\txtfile\\shell\\open\\command]

"(Default)"="vptray.exe %1"

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\txtfile\\shell\\open\\command]

"(Default)"="vptray.exe %1"

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]

"WinHelp"="%system%\\realsched.exe"

"Hardware Profile"="%system%\\hxdef.exe"

"Program In Windows"="%system%\\IEXPLORE.EXE"

"Microsoft NetMeeting Associates, Inc."="NetMeeting.exe"

"VFW Encoder/Decoder Settings"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"

"Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\runServices]

"SystemTra"="%Windor%\\SysTra.EXE"

"COM++ System"="suchost.exe"

生成子键

[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\ZMXLIB1]

6.Windows 95.98/Me系统下，修改Win.ini文件

[windows]字段 run=%System%\\RAVMOND.exe

Windows NT/2000/XP系统下，修改注册表，添加键值：

[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows]

"run"="RAVMOND.exe"

7.结束包含下列字符串的进程(涵括了江民、毒霸、瑞星、天网、诺顿、KILL、McAfee等杀毒及防火墙软件)：

KV KAV Duba NAV kill RavMon.exe Rfw.exe Gate McAfee Symantec SkyNet rising

8.任意选择端口开后门，收集感染计算机的系统信息并保存为文件C:\etlog.txt，蠕虫会将此信息发送给攻击者。

9.复制自身到网络共享目录及其子文件夹，文件名如下：

WinRAR.exe

Internet Explorer.bat

Documents and Settings.txt.exe

Microsoft Office.exe

Windows Media Player.zip.exe

Support Tools.exe

WindowsUpdate.pif

Cain.pif

MSDN.ZIP.pif

autoexec.bat

findpass.exe

client.exe

i386.exe

winhlp32.exe

xcopy.exe

mmc.exe

10.试图用内置的密码库以管理员的身份登陆局域网里的所有计算机，一旦成功便复制自身并启动服务( "Windows Management NetWork Service Extensions.")。

\\\\<目标计算机名>\\admin$\\system32\etManager.exe

11.可以通过OutLook和自身内置的SMTP程序发送带毒邮件。通过OutLook发送的邮件是直接回复邮箱中已有的信件，欺骗性较高。通过自带的SMTP程序发现邮件的附件名可能是：

the hardcore game-.pif

Sex in Office.rm.scr

Deutsch BloodPatch!.exe

s3msong.MP3.pif

Me_nude.AVI.pif

How to Crack all gamez.exe

Macromedia Flash.scr

SETUP.EXE

Shakira.zip.exe

dreamweaver MX (crack).exe

StarWars2 - CloneAttack.rm.scr

Industry Giant II.exe

DSL Modem Uncapper.rar.exe

joke.pif

Britney spears nude.exe.txt.exe

I am For u.doc.exe

12.创建网络共享文件夹： %Windir%\\Media

13.遍历从C到Y所有硬盘下的下列类型文件：

.htm .sht .php .asp .dbx .tbb .adb .wab

14.通过用suchost.exe覆盖原文件或者附加原始的蠕虫文件来感染.exe文件。