基本介紹
- 中文名:五毒蟲
- 威脅級別:4A
- 別稱:郵件蠕蟲、漏洞蠕蟲、黑客、後門
- 病毒類型: 木馬
- 受影響系統:Win9x/WinNT/Win2K/WinXP/2003
- 表現形式:瘋狂發郵件
破壞方式,發作條件,發作現象,技術特點,解決方案:,
破壞方式
A、病毒利用郵件、DCOM RPC漏洞、區域網路進行瘋狂傳播,導致網路癱瘓等現象
B、開後門,等待黑客連線,造成泄密等損失
C、採用捆綁式感染系統中的EXE檔案,損壞系統
D、將自身偽裝成流行軟體的新版本或者新軟體的破解補丁等,誘使用戶雙擊運
E、利用QQ散布帶網址信息的訊息,誘使用戶下載病毒
F、盜取網路中的密碼,送到病毒作者指定的信箱
發作條件
運行後會通過郵件傳播,將自己作為郵件的附屬檔案.也會通過拷貝自身到網路共享可寫目錄傳播.另外
它還會對區域網路的機器進行弱密碼攻擊,成功後也會拷貝自身到被攻擊機器並執行。
發作現象
A、如果防毒軟體進程存在,則中止以下進程:
KV
KAV
Duba
NAV
kill
RavMon.exe
Rfw.exe
Gate
McAfee
Symantec
SkyNet
Rising
B、對網路上的計算機的管理員密碼,進行弱密碼攻擊,如果攻擊成功的話,則病毒感染這台機器。
C、搜尋郵件列表,並試圖發電子郵件,電子郵件的附屬檔案一般名為:
the hardcore game-.pif
Sex in Office.rm.scr
Deutsch BloodPatch!.exe
s3msong.MP3.pif
Me_nude.AⅥ.pif
How to Crack all gamez.exe
Macromedia Flash.scr
SETUP.EXE
Shakira.zip.exe
dreamweaver MX (crack).exe
StarWars2 - CloneAttack.rm.scr
Industry Giant Ⅱ.exe
DSL Modem Uncapper.rar.exe
joke.pif
Britney spears nude.exe.txt.exe
I am For u.doc.exe
D、在所有目錄中搜尋後綴名為如下的的檔案
.htm .sht .php .asp .dbx .tbb .adb .wab
從中找到郵件地址,並用自己的郵件系統傳送郵件
E、搜尋c-z的硬碟,如果發現可移動設備,進行下列操作:
搜尋擴展名為exe的檔案,將原檔案擴展名改為zmx,同時將病毒自身拷貝到此並和原檔案同名.
F、搜尋本地郵件客戶端,如:Microsoft Outlook等,並回復所有收到的郵件:
如果原信件為:
標題: 原標題
發件人: @
內容: <;內容>
蠕蟲回復的郵件就為:
標題: Re: 原標題
收件人: @
內容:
'' 寫道:
====
> <;原信件內容>
>
====
<;發件者的郵件伺服器> 帳號自動回覆:
followed by one of the following:
If you can keep your head when all about you
Are losing theirs and blaming it on you;
If you can trust yourself when all men doubt you,
But make allowance for their doubting too;
If you can wait and not be tired by waiting,
Or,being lied about,don't deal in lies,
Or,being hated,don't give way to hating,
And yet don't look too good,nor talk too wise;
... ... more look to the attachment(更多請查看附屬檔案).
> Get your FREE account now! <
附屬檔案為: (名字為下列之一)
the hardcore game-.pif
Sex in Office.rm.scr
Deutsch BloodPatch!.exe
s3msong.MP3.pif
Me_nude.AⅥ.pif
How to Crack all gamez.exe
Macromedia Flash.scr
SETUP.EXE
Shakira.zip.exe
dreamweaver MX (crack).exe
StarWars2 - CloneAttack.rm.scr
Industry Giant Ⅱ.exe
DSL Modem Uncapper.rar.exe
joke.pif
Britney spears nude.exe.txt.exe
I am For u.doc.exe
H,在下列目錄中搜尋擴展名為.txt,.pl,.wab,.adb,.tbb,.dbx,.asp,.php,.sht,and .htm的檔案,並在這些檔案中搜尋email地址.
%Windir%\Local Settings
\Documents and Settings\\local settings
Temporary Internet Files
21,通過自己的smtp引擎向搜尋到的email地址發信,特徵為:
發件人: 隨機字元
標題:下列之一
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
內容: 下列之一
pass
Mail failed. For further assistance,please contact!
The message contains Unicode characters and has been sent as a binary attachment.
It's the long-awaited film version of the Broadway hit. The message sent as a binary attachment.
附屬檔案: (下列之一)
document
readme
doc
text
file
data
test
message
body
擴展名:
.bat
.exe
.scr
.pif
G、將%Windir%\Media設定為已分享資料夾,名字為Media
H、會監視用戶密碼,並將監視到的結果保存到
%System%/win32add.sys
%System%/win32pwd.sys
格式如下
ftp://用戶名1:密碼1@IP1/
ftp://用戶名2:密碼2@IP2/
I、病毒如果發現QQ的“傳送”按鈕,則會自動傳送如下信息之一:
你那瓜子形的形,那么白淨,彎彎的一雙眉毛,那么修長;水汪汪的一對眼睛,那么明亮!
你是花叢中的蝴蝶,是百合花中的蓓蕾。無論什麼衣服穿到你的身上,總是那么端莊、好看。在風吹乾你的散發時,我簡直著魔了:在閃閃發光的披肩柔發中,在淡淡入鬢的蛾眉問,在碧水漓漓的眼睛裡……你竟是如此美麗可人!
你是一尊象牙雕刻的女神,大方、端莊、溫柔、姻靜,無一不使男人深深崇拜。你其有點像天上的月亮,也像那閃爍的星星,可惜我不是詩人,否則,當寫一萬首詩來形容你的美麗。春花秋月,是詩人們歌頌的情景,可是我對於它,卻感到十分平凡。只有你嵌著梨渦的笑容,才是我眼中最美的偶象。
你笑起來的樣子最為動人,兩片薄薄的嘴唇在笑,長長的眼睛在笑,腮上兩個陷得很舉動的酒窩也在笑. 你蹦蹦跳跳地走進來,一件紅尼大衣,緊束著腰帶,顯得那么輕盈,那么矯健,簡直就像天邊飄來一朵紅雲。
遠遠地,我目送你的背影,你那用一束大紅色綢帶扎在腦後的黑髮,宛如幽靜的月夜裡從山澗中傾瀉下來的一壁瀑布。
其實,我最先認識你是在照片上。照片上的你托腮凝眸,若有所思。那份溫柔、那份美感、那份嫵媚,使我久久難以忘懷
你是那樣地美,美得象一首抒情詩。你全身充溢著少女的純情和青春的風采。留給我印象最深的是你那雙湖水般清澈的眸子,以及長長的、一閃一閃的睫毛。像是探詢,像是關切,像是問候。
後面跟上“ 這是你需要的東西:下載地址1 下載地址2
如:其實,我最先認識你是在照片上。照片上的你托腮凝眸,若有所思。那份溫柔、那份美感、那份嫵媚,使我久久難以忘懷。這是你需要的東西:
下載地址1
下載地址2
下載內容為病毒檔案。連結為 病毒檔案,用戶運行後即會中毒(圖)
技術特點
A、木馬運行後會將自身複製到系統目錄下:
%SystemRoot%\SYSTRA.EXE
%System%\hxdef.exe
%System%\IEXPLORE.EXE
%System%\RAVMOND.exe
%System%\realsched.exe
%System%\vptray.exe
%System%\kernel66.dll
在系統安裝目錄中生成
%System%\ODBC16.dll
%System%\msjdbc11.dll
%System%\MSSIGN30.DLL
%System%\LMMIB20.DLL
%System%\NetMeeting.exe
%System%\spollsv.exe
%system%\internet.exe
%System%\svch0st.exe
在每個盤符下生成如下兩個檔案
AUTORUN.INF
COMMAND.EXE
使用戶一雙擊盤符即會中毒
B、在註冊表主鍵:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下添加如下鍵值:
"WinHelp"="%SYSTEM%"\realsched.exe"
"Hardware Profile" ="%SYSTEM%"\hxdef.exe"
"Mircorsoft NetMeeting Associates,Inc."="NetMeeting.exe"
"Program In Windows"="%system%\IEXPLORE.EXE"
"VFW Encoder/Decoder Settings"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
"Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
"Shell Extension"="%system%\spollsv.exe"
"Network Associates,Inc."="internet.exe"
"S0undMan"="svch0st.exe"
在註冊表主鍵
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\runServices
下添加如下鍵值:
"SystemTra"="%Windor%\SysTra.EXE"
對於win98/me系統 會對%system%\win.ini檔案內添加如下內容:
run=%System%\RAVMOND.exe
C、會創建一個名為 "Windows Management Protocol v.0 (experimental)"和"_reg"的兩個服務,服務對應的病毒檔案為msjdbc11.dll 和ondll_server。
D、隨機開啟一個連線埠,作為後門。
E、收集系統信息,存為C:\NETLOG.TXT,每行均以NETDI做為開頭
F、複製自身到所有已分享資料夾中,檔案名稱可能是以下之一:
WinRAR.exe
Internet Explorer.bat
Documents and Settings.txt.exe
Microsoft Office.exe
Windows Media Player.zip.exe
Support Tools.exe
WindowsUpdate.pif
Cain.pif
MSDN.ZIP.pif
autoexec.bat
findpass.exe
client.exe
i386.exe
winhlp32.exe
xcopy.exe
mmc.exe
G、會釋放一個名為suchost.exe檔案用於將病毒體和EXE檔案進行捆綁。互斥量為:I090909!
解決方案:
C、修改弱密碼,強烈建議致少使用4個字母和4個數字的組合密碼
D、養成良好習慣,不輕易打開即時通訊工具傳來的網址,不打有附屬檔案的郵件
