簡介
Worm.Supnot.ac
Worm.Supnot.af
Worm.Supnot.ag
Worm.Supnot.ah
Worm.Supnot.ai
Worm.Supnot.aj
★ 目前該病毒中危害級別最高的 Worm.Supnot.ai/Worm.Supnot.aj 兩個變種。
病毒狀況
這個病毒目前幾乎套用了所有病毒和木馬的攻擊和傳播技術,不但危害嚴重,而且傳播方式非常多樣,極其討厭。原因是很多病毒原始碼在網上都有公布,此病毒作者將幾個個危害嚴重的病毒代碼重新組合編寫,集五毒於一毒。
該病毒不僅可以中止各類防毒軟體進程,而且還可通過
郵件大量傳播,使更多用戶受到感染。目前它可對系統造成更加嚴重威脅,不僅可打開
系統後門讓黑客更容易連結到用戶計算機,攔截IE、QQ,網路遊戲等應用程式,造成信息泄密。
該病毒作者利用了多種重大病毒
原始碼進行編寫,目前它已經幾乎具有了所有的病毒破壞方式:結束防毒軟體進程、郵件瘋狂傳播、QQ引誘訊息傳播、據有“木馬”性質來盜取網路遊戲賬號等各種應用程式的密碼、對網路造成嚴重堵塞。
另外,“
五毒蟲”病毒還會利用QQ傳送帶網址的訊息,欺騙用戶下載此病毒。
該病毒也利用了
郵件進行傳播,並會傳送大量的垃圾郵件。帶毒郵件的附屬檔案名如下,請用戶一定要小心,不要上當中招。
技術細節
以下為該病毒的行為:
A、病毒運行後會將自身複製到系統目錄下:
%SystemRoot%\SYSTRA.EXE
%System%\hxdef.exe
%System%\IEXPLORE.EXE
%System%\RAVMOND.exe
%System%\realsched.exe
%System%\vptray.exe
%System%\kernel66.dll
%System%\ODBC16.dll
%System%\msjdbc11.dll
%System%\MSSIGN30.DLL
%System%\LMMIB20.DLL
%System%\NetMeeting.exe
%Windir%\suchost.exe
%System%\spollsv.exe
在每個盤符下生成如下兩個檔案
AUTORUN.INF
COMMAND.EXE
使用戶一雙擊盤符即會中毒
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下添加如下鍵值:
"WinHelp"="%SYSTEM%"\realsched.exe"
"Hardware Profile" ="%SYSTEM%"\hxdef.exe"
"Mircorsoft NetMeeting Associates, Inc."="NetMeeting.exe"
"Program In Windows"="%system%\IEXPLORE.EXE"
"VFW Encoder/Decoder Settings"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
"Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
"Shell Extension"="%system%\spollsv.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command
修改如下鍵值
"默認"="vptray.exe %1"
在註冊表主鍵
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\runServices
下添加如下鍵值:
"SystemTra"="%Windor%\SysTra.EXE"
"COM++ System"="suchost.exe"
對於win98/me系統 會對%system%\win.ini檔案內添加如下內容:
run=%System%\RAVMOND.exe
D、會創建一個名為 "Windows Management Protocol v.0 (experimental)"和"_reg"的兩個服務,服務對應的病毒檔案為msjdbc11.dll,入口參數為ondll_server。
F、收集系統信息,存為C:\NETLOG.TXT,每行均以NETDI做為開頭
G、複製自身到所有已分享資料夾中,檔案名稱可能是以下之一:
WinRAR.exe
Internet Explorer.bat
Documents and Settings.txt.exe
Microsoft Office.exe
Windows Media Player.zip.exe
Support Tools.exe
WindowsUpdate.pif
Cain.pif
MSDN.ZIP.pif
autoexec.bat
findpass.exe
client.exe
i386.exe
winhlp32.exe
xcopy.exe
mmc.exe
G、會釋放一個名為suchost.exe檔案用於將病毒體和EXE檔案進行捆綁。
互斥量為:I090909!
H、會在
網路映射磁碟或
可移動磁碟中搜尋EXE檔案,替換原檔案,並將原檔案改名為~ex,同時生成tools.rar,壓縮檔中包括Tools.scr檔案為病毒程式。
預防及中毒解決方案
a)啟動
漏洞掃描,並把有漏洞的機器安裝漏洞修復程式,以保證電腦免受病毒攻擊;
b)執行弱密碼及可寫共享掃描,並立即修正,以切斷“
五毒蟲”傳播途徑。
2、如果中了該病毒,啟動不了
防毒軟體主程式的情況下,可以通過如下步驟解決。
第一步:馬上使用防毒軟體
開始選單程式內的單獨升級模組進行升級;
第二步:啟動計算機到安全模式,啟動
防毒軟體進行查殺;
目前國內著名廠商如:金山、
瑞星,國外
諾頓等都擁有單獨的升級模組,可以輕易的解決該病毒。
忠告
良好的上網習慣可以減輕中毒的幾率:
1、查殺完病毒後,請注意打上最新的
系統補丁,特別是衝擊波、
震盪波的補丁
2、修改弱密碼,強烈建議致少使用4個字母和4個數字的組合密碼
3、養成良好習慣,不輕易打開即時通訊工具傳來的網址,不打有附屬檔案的郵件