“I-Worm/Supkp.ag”的意思、由来-中文百科全书

I-Worm/Supkp.ag

病毒长度：183,296 字节

病毒类型：网络蠕虫

危害等级：**

影响平台：Win9X/2000/XP/NT/Me/2003

传播过程及特征：

1.复制自身：

%Windir%\\SYSTRA.EXE

%Windir%\\DRWTSN16.EXE

%System%\\hxdef.exe

%System%\\a(57 bytes)

%System%\\IEXPLORE.EXE

%System%\\RAVMOND.exe

%System%\\internet.exe

%System%\\svch0st.exe

%System%\\kernel66.dll

生成文件：

%System%\\ODBC16.dll -- 53,248 字节

%System%\\msjdbc11.dll -- 53,248 字节

%System%\\MSSIGN30.DLL -- 53,248 字节

%System%\\WIN32VXD.DLL -- 53,248 字节

%System%\etMeeting.exe -- 61,440 字节

2.NetMeeting.exe文件运行有如下操作：

/复制自身为%System%\\spollsv.exe

/修改注册表：

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]

"Shell Extension" = "%system%\\spollsv.exe"

/试图在有DCOM RPC漏洞的机器的系统目录下创建文件a，a为一个FTP脚本文件用于获取感染系统里的hxdef.exe.

/可能在系统目录下生成文件：results.txt ，win2k.txt ，winxp.txt

3.在硬盘根目录下生成文件AUTORUN.INF，并复制自身为COMMAND.EXE。此外还生成文件：.

4.修改注册表：

在注册表启动项下添加键值

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]

"NetworkAssociates Inc" = "internet.exe"

"Hardware Profile" = "%system%\\hxdef.exe"

"Program In Windows" = "%system%\\IEXPLORE.EXE"

"VFW Encoder/Decoder Settings" = "RUNDLL32.EXEMSSIGN30.DLL ondll_reg"

"Protected Storage" = "RUNDLL32.EXE MSSIGN30.DLLondll_reg"

"S0undMan" = "%system%\\svch0st.exe"

"Microsoft NetMeeting Associates, Inc." = NetMeeting.exe"

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\runServices]

"SystemTra"="%Windor%\\SysTra.EXE"

"COM++ System"="DRWTSN16.EXE"

Windows NT/2000/XP

[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows]

"run"="RAVMOND.exe"

5.结束包含下列字符串的进程(涵括了毒霸、瑞星、天网、诺顿、KILL、McAfee等杀毒及防火墙软件)：

KAV

Duba

NAV

kill

RavMon.exe

Rfw.exe

Gate

McAfee

Symantec

SkyNet

rising

6.复制自身到网络共享目录及其子文件夹，文件名如下：

WinRAR.exe

Internet Explorer.bat

Documents and Settings.txt.exe

Microsoft Office.exe

Windows Media Player.zip.exe

Support Tools.exe

WindowsUpdate.pif

Cain.pif

MSDN.ZIP.pif

autoexec.bat

findpass.exe

client.exe

i386.exe

winhlp32.exe

xcopy.exe

mmc.exe

7.扫描网络内的所有计算机，企图用内置密码库里的密码获取管理员登陆权限。一旦成功登陆到远程计算机，蠕虫便复制自身:

\\\\<计算机名>\\admin$\\%System%\etManager.exe 并将此文件作为"Windows Management NetWork Service Extensions"服务开始运行。

8.从感染病毒的计算机上搜索合法的邮件地址，然后利用自带的SMTP引擎发送自身到上述地址，邮件特征：

主题：下列之一

test

hello

Mail Delivery System

Mail Transaction Failed

Server Report

Status

Error

附件：.exe/.scr/.pif/.com/.rar类型文件

此外进入 MAPI-compliant 邮件客户端（包括：Microsoft Outlook）邮箱后会回复收件箱中的所有邮件。

注：%Windir%为变量，一般为C:\\Windows 或 C:\\Winnt；

%Program Files%一般为c:\\Program Files；

%System%为变量，一般为C:\\Windows\\System (Windows 95/98/Me), C:\\Winnt\\System32 (Windows NT/2000),

或 C:\\Windows\\System32 (Windows XP)。

词条	I-Worm/Supkp.ag
释义	I-Worm/Supkp.ag是群发邮件蠕虫病毒，利用DCOM RPC漏洞在TCP端口135进行传播，还通过网络共享进行传播，黑客可以任意访问感染蠕虫的系统，并可以在任意端口打开后门。 I-Worm/Supkp.ag 病毒长度：183,296 字节病毒类型：网络蠕虫危害等级：** 影响平台：Win9X/2000/XP/NT/Me/2003 传播过程及特征： 1.复制自身： %Windir%\\SYSTRA.EXE %Windir%\\DRWTSN16.EXE %System%\\hxdef.exe %System%\\a(57 bytes) %System%\\IEXPLORE.EXE %System%\\RAVMOND.exe %System%\\internet.exe %System%\\svch0st.exe %System%\\kernel66.dll 生成文件： %System%\\ODBC16.dll -- 53,248 字节 %System%\\msjdbc11.dll -- 53,248 字节 %System%\\MSSIGN30.DLL -- 53,248 字节 %System%\\WIN32VXD.DLL -- 53,248 字节 %System%\etMeeting.exe -- 61,440 字节 2.NetMeeting.exe文件运行有如下操作： /复制自身为%System%\\spollsv.exe /修改注册表： [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run] "Shell Extension" = "%system%\\spollsv.exe" /试图在有DCOM RPC漏洞的机器的系统目录下创建文件a，a为一个FTP脚本文件用于获取感染系统里的hxdef.exe. /可能在系统目录下生成文件：results.txt ，win2k.txt ，winxp.txt 3.在硬盘根目录下生成文件AUTORUN.INF，并复制自身为COMMAND.EXE。此外还生成文件：. 4.修改注册表：在注册表启动项下添加键值 [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run] "NetworkAssociates Inc" = "internet.exe" "Hardware Profile" = "%system%\\hxdef.exe" "Program In Windows" = "%system%\\IEXPLORE.EXE" "VFW Encoder/Decoder Settings" = "RUNDLL32.EXEMSSIGN30.DLL ondll_reg" "Protected Storage" = "RUNDLL32.EXE MSSIGN30.DLLondll_reg" "S0undMan" = "%system%\\svch0st.exe" "Microsoft NetMeeting Associates, Inc." = NetMeeting.exe" [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\runServices] "SystemTra"="%Windor%\\SysTra.EXE" "COM++ System"="DRWTSN16.EXE" Windows NT/2000/XP [HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows] "run"="RAVMOND.exe" 5.结束包含下列字符串的进程(涵括了毒霸、瑞星、天网、诺顿、KILL、McAfee等杀毒及防火墙软件)： KAV Duba NAV kill RavMon.exe Rfw.exe Gate McAfee Symantec SkyNet rising 6.复制自身到网络共享目录及其子文件夹，文件名如下： WinRAR.exe Internet Explorer.bat Documents and Settings.txt.exe Microsoft Office.exe Windows Media Player.zip.exe Support Tools.exe WindowsUpdate.pif Cain.pif MSDN.ZIP.pif autoexec.bat findpass.exe client.exe i386.exe winhlp32.exe xcopy.exe mmc.exe 7.扫描网络内的所有计算机，企图用内置密码库里的密码获取管理员登陆权限。一旦成功登陆到远程计算机，蠕虫便复制自身: \\\\<计算机名>\\admin$\\%System%\etManager.exe 并将此文件作为"Windows Management NetWork Service Extensions"服务开始运行。 8.从感染病毒的计算机上搜索合法的邮件地址，然后利用自带的SMTP引擎发送自身到上述地址，邮件特征：主题：下列之一 test hi hello Mail Delivery System Mail Transaction Failed Server Report Status Error 附件：.exe/.scr/.pif/.com/.rar类型文件此外进入 MAPI-compliant 邮件客户端（包括：Microsoft Outlook）邮箱后会回复收件箱中的所有邮件。注：%Windir%为变量，一般为C:\\Windows 或 C:\\Winnt； %Program Files%一般为c:\\Program Files； %System%为变量，一般为C:\\Windows\\System (Windows 95/98/Me), C:\\Winnt\\System32 (Windows NT/2000), 或 C:\\Windows\\System32 (Windows XP)。
随便看	做事高人一筹36字诀做事精彩决定做人精彩做事就要出成果做事就这几招做事你不能不留后路做事三要诀做事细节做事细节全书做事先做人的智慧做事先做人全集做事要讲规则做事要有分寸做事要有手腕做事要有责任心做事要有自己的独招做事有尺度做事智慧做事最容易犯的100个错误做事做到位做事做到位全集做事做人做生意做势做收盘做手做手工:盖房子