五毒蟲木馬

病毒類型:木馬,受影響系統:Windows95,Windows98,WindowsMe,WindowsNT,Windows2000,WindowsXP,WindowsServer2003,病毒變種:Worm.Supnot.ac,Worm.Supnot.ad,Worm.Supnot.ae,Worm.Supnot.af,Worm.Supnot.ag,Worm.Supnot.ah,Worm.Supnot.ai,Worm.Supnot.aj,該病毒中危害級別最高的Worm.Supnot.ai/Worm.Supnot.aj兩個變種。

基本介紹

  • 中文名:五毒蟲木馬
  • 病毒類型::木馬
  • 技術細節運行後會將自身複製到系統目錄
  • 解決方案:用戶注意及時升級防毒軟體。
病毒狀況,技術細節,解決方案,忠告,緊急處理,防止傳播,

病毒狀況

“五毒蟲”病毒是繼震盪波病毒之後又一巨大危害的病毒,初步分析此病毒為國人所編寫。它綜合了“衝擊波”、“QQ小尾巴”、“MYDOOM”、“惡鷹”、“木馬”等眾多病毒危害於一身,將對電腦用戶造成嚴重危害。
中毒後的計算機可能會出現如下的所有或任意一種現象:向外瘋狂傳送垃圾郵件、60秒倒計時重啟、向QQ好友傳送垃圾信息、打不開防毒軟體、向網路內其他機器攻擊、上網速度緩慢等。
這個病毒幾乎套用了所有病毒和木馬的攻擊和傳播技術,不但危害嚴重,而且傳播方式非常多樣,極其討厭。原因是很多病毒原始碼在網上都有公布,此病毒作者將幾個個危害嚴重的病毒代碼重新組合編寫,集五毒於一毒。
該病毒不僅可以中止各類防毒軟體進程,而且還可通過郵件大量傳播,使更多用戶受到感染。它可對系統造成更加嚴重威脅,不僅可打開系統後門讓黑客更容易連結到用戶計算機,攔截IE、QQ,網路遊戲應用程式,造成信息泄密。
該病毒作者利用了多種重大病毒原始碼進行編寫,它已經幾乎具有了所有的病毒破壞方式:結束防毒軟體進程、郵件瘋狂傳播、QQ引誘訊息傳播、據有“木馬”性質來盜取網路遊戲賬號等各種應用程式的密碼、對網路造成嚴重堵塞。
另外,“五毒蟲”病毒還會利用QQ傳送帶網址的訊息,欺騙用戶下載此病毒。
該病毒也利用了郵件進行傳播,並會傳送大量的垃圾郵件。帶毒郵件的附屬檔案名如下,請用戶一定要小心,不要上當中招。

技術細節

以下為該病毒的行為:
A、病毒運行後會將自身複製到系統目錄下:
%SystemRoot%SYSTRA.EXE
%System%hxdef.exe
%System%IEXPLORE.EXE
%System%RAVMOND.exe
%System%
ealsched.exe
%System%vptray.exe
%System%kernel66.dll
B、在系統安裝目錄中生成
%System%ODBC16.dll
%System%msjdbc11.dll
%System%MSSIGN30.DLL
%System%LMMIB20.DLL
%System%NetMeeting.exe
%Windir%suchost.exe
%System%spollsv.exe
在每個盤符下生成如下兩個檔案
AUTORUN.INF
COMMAND.EXE
使用戶一雙擊盤符即會中毒
C、在註冊表主鍵:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
下添加如下鍵值:
WinHelp=%SYSTEM%
ealsched.exe
HardwareProfile=%SYSTEM%hxdef.exe
MircorsoftNetMeetingAssociates,Inc.=NetMeeting.exe
ProgramInWindows=%system%IEXPLORE.EXE
VFWEncoder/DecoderSettings=RUNDLL32.EXEMSSIGN30.DLLondll_reg
ProtectedStorage=RUNDLL32.EXEMSSIGN30.DLLondll_reg
ShellExtension=%system%spollsv.exe
對註冊表主鍵:
HKEY_LOCAL_MACHINESOFTWAREClassestxtfileshellopencommand
修改如下鍵值
默認=vptray.exe%1
在註冊表主鍵
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
unServices
下添加如下鍵值:
SystemTra=%Windor%SysTra.EXE
COM++System=suchost.exe
對於win98/me系統會對%system%win.ini檔案內添加如下內容:
run=%System%RAVMOND.exe
D、會創建一個名為WindowsManagementProtocolv.0(experimental)和_reg的兩個服務,服務對應的病毒檔案為msjdbc11.dll,入口參數為ondll_server。
E、隨機開啟一個連線埠,作為後門。
F、收集系統信息,存為C:NETLOG.TXT,每行均以NETDI做為開頭
G、複製自身到所有已分享資料夾中,檔案名稱可能是以下之一:
WinRAR.exe
InternetExplorer.bat
DocumentsandSettings.txt.exe
MicrosoftOffice.exe
WindowsMediaPlayer.zip.exe
supportTools.exe
WindowsUpdate.pif
Cain.pif
MSDN.ZIP.pif
autoexec.bat
findpass.exe
client.exe
i386.exe
winhlp32.exe
xcopy.exe
mmc.exe
G、會釋放一個名為suchost.exe檔案用於將病毒體和EXE檔案進行捆綁。互斥量為:I090909!
H、會在網路映射磁碟或可移動磁碟中搜尋EXE檔案,替換原檔案,並將原檔案改名為~ex,同時生成tools.rar,壓縮檔中包括Tools.scr檔案為病毒程式。

解決方案

1、國內外著名防毒軟體都對病毒庫進行了升級更新,請各用戶注意及時升級防毒軟體。
a)啟動漏洞掃描,並把有漏洞的機器安裝漏洞修復程式,以保證電腦免受病毒攻擊;
b)執行弱密碼及可寫共享掃描,並立即修正,以切斷“五毒蟲”傳播途徑。
2、如果中了該病毒,啟動不了防毒軟體主程式的情況下,可以通過如下步驟解決。
第一步:馬上使用防毒軟體開始選單程式內的單獨升級模組進行升級;
第二步:啟動計算機到安全模式,啟動防毒軟體進行查殺;
國內著名廠商如:金山瑞星,國外諾頓等都擁有單獨的升級模組,可以輕易的解決該病毒。
★“五毒蟲”專殺工具(版本:2004.7.14.9)----查殺惡郵差最新8變種(即“五毒蟲)
毒霸下載 
★下載使用3721五毒蟲病毒專殺工具,即可清理該病毒及其變種。

忠告

良好的上網習慣可以減輕中毒的幾率:
1、查殺完病毒後,請注意打上最新的系統補丁,特別是衝擊波、震盪波的補丁
2、修改弱密碼,強烈建議致少使用4個字母和4個數字的組合密碼
3、養成良好習慣,不輕易打開即時通訊工具傳來的網址,不打有附屬檔案的郵件
4、打開金山網鏢和金山毒霸病毒防火牆,防止病毒進入系統。
五毒蟲”用了郵件、漏洞攻擊、區域網路攻擊、QQ小尾巴等多種傳播方式,對於擁有區域網路的企業級用戶來說具有極大的威脅。該病毒會強制關閉反病毒軟體,還會用伴生和捆綁等方式感染檔案,來充分的隱藏自己,讓管理員防不勝防。

緊急處理

金山毒霸網路版升級到2004年7月14日的病毒庫可清除該病毒。
為了安全徹底地清除該病毒,並防止病毒在區域網路內交叉感染,部署了金山毒霸網路版的企業級用戶請採用如下步驟:
1.立即通知系統中心(網路版1.0及1.5用戶)或升級伺服器(網路版2.0用戶)升級,查看升級日誌,確保其成功升級到最新病毒庫(2004年7月14日或更新),幾分鐘內,全網電腦將自動完成升級。
2.從系統中心或管理中心(網路版2.0用戶)啟動全網掃描。
3.對於已中毒造成毒霸進程關閉而不能正常升級和啟動掃描的電腦請立即用以下步驟進行處理
1)、點擊選單中的“金山毒霸網路版升級程式”,單獨運行升級程式更新病毒庫,更新成功後,請將此電腦從網路中隔離,以免造成交叉及重複感染
2)下載最新"五毒蟲"專殺工具:
3)將Kavdx.exe複製一個副本,命名為Kavdx.com。
4)重新啟動計算機到帶命今行的安全模式(啟動時按F8)
在DOS模式下啟動Kavdx.com進行全盤查殺
如:C:\Kavnet\Kavdx.com/all
(C:\kavnet為金山毒霸網路版客戶端安裝目錄,您需要根據實際安裝目錄作相應更改)
5)因為病毒會採用伴生型感染檔案,查殺完畢後,使用專殺工具自動修復被病毒改名的無毒系統程式。

防止傳播

1.通過系統中心或管理中心強制所有客戶端打開病毒防火牆及郵件防火牆,設定關閉密碼以防止用戶自行關閉;
2.查殺完病毒後,打上最新的系統補丁,特別是衝擊波、震盪波的補丁
網路版2.0用戶可以採用全網漏洞掃描方式給所有電腦安裝漏洞修復程式
3.修改弱密碼,強烈建議致少使用4個字母和4個數字的組合密碼,基於NT/2000/2003域模式的網路可通過組策略強制所有用戶修改為強壯的密碼
4.不斷指導或培訓用戶養成良好習慣,不輕易打開即時通訊工具傳來的網址,不打可疑郵件的附屬檔案

相關詞條

熱門詞條

聯絡我們