基本介紹
- 中文名:“五毒蟲”變種AC(Worm.Supnot.ac)
- 中文名稱: 五毒蟲
- 威脅級別: 3B
- 病毒類型: 木馬
破壞方式,技術特點,解決方案,
破壞方式
A、病毒利用郵件、DCOM RPC漏洞、區域網路進行瘋狂傳播,導致網路癱瘓等現象
B、開後門,等待黑客連線,造成泄密等損失
C、採用捆綁式感染系統中的EXE檔案,損壞系統
發作現象:
A、如果防毒軟體進程存在,則中止以下進程:
KV
KAV
Duba
NAV
kill
RavMon.exe
Rfw.exe
Gate
McAfee
Symantec
SkyNet
rising
B、對網路上的計算機的管理員密碼,進行弱密碼攻擊,如果攻擊成功的話,則病毒感染這台機器。
C、搜尋郵件列表,並試圖發電子郵件,電子郵件的附屬檔案一般名為:
the hardcore game-.pif
Sex in Office.rm.scr
Deutsch BloodPatch!.exe
s3msong.MP3.pif
Me_nude.AVI.pif
How to Crack all gamez.exe
Macromedia Flash.scr
SETUP.EXE
Shakira.zip.exe
dreamweaver MX (crack).exe
StarWars2 - CloneAttack.rm.scr
Industry Giant II.exe
DSL Modem Uncapper.rar.exe
joke.pif
Britney spears nude.exe.txt.exe
I am For u.doc.exe
D、在所有目錄中搜尋後綴名為如下的的檔案
.htm .sht .php .asp .dbx .tbb .adb .wab
從中找到郵件地址,並用自己的郵件系統傳送郵件
技術特點
A、病毒運行後會將自身複製到系統目錄下:
%SystemRoot%\SYSTRA.EXE
%System%\hxdef.exe
%System%\IEXPLORE.EXE
%System%\RAVMOND.exe
%System%\realsched.exe
%System%\vptray.exe
%System%\kernel66.dll
B、在系統安裝目錄中生成
%System%\ODBC16.dll
%System%\msjdbc11.dll
%System%\MSSIGN30.DLL
%System%\LMMIB20.DLL
%System%\NetMeeting.exe
%Windir%\suchost.exe
%System%\spollsv.exe
在每個盤符下生成如下兩個檔案
AUTORUN.INF
COMMAND.EXE
使用戶一雙擊盤符即會中毒
C、在註冊表主鍵:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下添加如下鍵值:
"WinHelp"="%SYSTEM%"\realsched.exe"
"Hardware Profile" ="%SYSTEM%"\hxdef.exe"
"Mircorsoft NetMeeting Associates, Inc."="NetMeeting.exe"
"Program In Windows"="%system%\IEXPLORE.EXE"
"VFW Encoder/Decoder Settings"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
"Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
"Shell Extension"="%system%\spollsv.exe"
對註冊表主鍵:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command
修改如下鍵值
"默認"="vptray.exe %1"
在註冊表主鍵
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\runServices
下添加如下鍵值:
"SystemTra"="%Windor%\SysTra.EXE"
"COM++ System"="suchost.exe"
對於win98/me系統 會對%system%\win.ini檔案內添加如下內容:
run=%System%\RAVMOND.exe
D、會創建一個名為 "Windows Management Protocol v.0 (experimental)"和"_reg"的兩個服務,服務對應的病毒檔案為msjdbc11.dll 和ondll_server。
E、隨機開啟一個連線埠,作為後門。
F、收集系統信息,存為C:\NETLOG.TXT,每行均以NETDI做為開頭
G、複製自身到所有已分享資料夾中,檔案名稱可能是以下之一:
WinRAR.exe
Internet Explorer.bat
Documents and Settings.txt.exe
Microsoft Office.exe
Windows Media Player.zip.exe
Support Tools.exe
WindowsUpdate.pif
Cain.pif
MSDN.ZIP.pif
autoexec.bat
findpass.exe
client.exe
i386.exe
winhlp32.exe
xcopy.exe
mmc.exe
G、會釋放一個名為suchost.exe檔案用於將病毒體和EXE檔案進行捆綁。互斥量為:I090909!
解決方案
C、修改弱密碼,強烈建議致少使用4個字母和4個數字的組合密碼
D、養成良好習慣,不輕易打開即時通訊工具傳來的網址,不打有附屬檔案的郵件