病毒信息
病毒名稱: Worm.Supnot.ag
中文名稱: 五毒蟲
威脅級別: 3A
病毒類型: 木馬
受影響系統:Win9x/WinNT/Win2K/WinXP/Win2003
破壞方式
A、病毒利用郵件、DCOM RPC漏洞、區域網路進行瘋狂傳播,導致網路癱瘓等現象
B、開後門,等待黑客連線,造成泄密等損失
C、採用捆綁式感染系統中的EXE檔案,損壞系統
D、將自身偽裝成流行軟體的新版本或者新軟體的破解補丁等,誘使用戶雙擊運
發作現象
A、停止下列服務:
Rising Realtime Monitor Service
Symantec Antivirus Server
Symantec Client
B、,結束掉含有下列字元串的進程:
Duba
KAV
SkyNet
Symantec
McAfee
Gate
Rfw.exe
RavMon.exe
kill
rising
Nav
讓反病毒軟體失效
C、搜尋c-z的硬碟,如果發現可移動設備,進行下列操作:
搜尋擴展名為exe的檔案,將原
檔案擴展名改為~ex,同時將病毒自身拷貝到此並和原檔案同名.
D、拷貝自身到網路共享可寫目錄,名字為:
WinRAR.exe
Internet Explorer.bat
Documents and Settings.txt.exe
Microsoft Office.exe
Windows Media Player.zip.exe
Support Tools.exe
WindowsUpdate.pif
Cain.pif
MSDN.ZIP.pif
autoexec.bat
findpass.exe
client.exe
i386.exe
winhlp32.exe
xcopy.exe
mmc.exe
E、使簡單的的密碼組合來攻擊遠程機器的Administrator帳號,攻擊成功後傳播病毒
技術特點
A、自我複製到
%Windir%\CDPlay.exe
%Windir%\Exploier.exe
%System%\IEXPLORE.exe
%System%\RAVMOND.exe
%System%\WinHelp.exe
%System%\Update_OB.exe
%System%\TkBellExe.exe
%System%\hxdef.exe
%System%\Kernel66.dll (隱藏屬性)
B、,在每個分區的根目錄建立一個名為CDROM.COM的檔案
C、,建立%System%\iexplorer.exe這個檔案,這是惡郵差系列的另外一個變種,當這個變種運行時,進行的系統修改有:
a、拷貝自身到%System%\spollsv.exe.
b、添加下列鍵值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Shell Extension" = "%system%\spollsv.exe"
D、在每個分區根目錄下建立autorun.inf檔案,內容為:
[Autorun]
open="C:\cdrom.com"/StartExplorer
E、在每個分區根目錄下建立下列檔案:
Bakeup
Tools
email
擴展名為:
RAR
ZIP
F、向註冊表添加:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Winhelp"="%system%\TkBellExe.exe..."
"Microsoft Associates, Inc."="%system%\iexplorer.exe"
"Hardware Profile"="%system%\hxdef.exe..."
"Program in Windows"="%system%\IEXPLORE.exe"
G、添加服務:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
"SystemTra"="%Windor%\CDPlay.EXE"
"COM++ System"="exploier.exe"
HKEY_CLASSES_ROOT\txtfile\shell\open\command
HKEY_LOCAL_MACHINE\Software\Classes\txtfile\shell\open\command
"(Default)"="Update_OB.exe%1"
這樣當你每次打開一個txt檔案時,病毒都會運行.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ZMXLIB1
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
"run"="RAVMOND.exe"
K、在連線埠6000進行監聽,將監聽結果記錄到:
C:\Netlog.txt,並通過email傳送給攻擊者
L、將%Windir%\Media設定為已分享資料夾,名字為Media
M、在本地搜尋擴展名為exe的檔案,進行感染.
解決方案
B、查殺完病毒後,請注意打上最新的
系統補丁,特別是衝擊波、
震盪波的補丁
C、修改弱密碼,強烈建議致少使用4個字母和4個數字的組合密碼
D、養成良好習慣,不輕易打開即時通訊工具傳來的網址,不打有附屬檔案的郵件