I-Worm/Supkp.af是群發郵件蠕蟲,企圖傳送自身到在從感染計算機上找到的所有郵件地址。利用DCOM RPC 漏洞TCP連線埠135進行傳播,還通過網路共享進行傳播。郵件的發件人地址是偽造的,主題和郵件正文都是變化的。
基本介紹
- 外文名:I-Worm/Supkp.af
- 病毒長度:152,064 位元組
- 影響平台:Win9X/2000/XP/NT/Me/2003
- .複製自身::%Windir%\CDPlay.exe
基本信息,傳播過程,
基本信息
I-Worm/Supkp.af
病毒長度:152,064 位元組
病毒類型:網路蠕蟲
危害等級:**
影響平台:Win9X/2000/XP/NT/Me/2003
傳播過程
1.複製自身:
%Windir%\CDPlay.exe
%Windir%\Exploier.exe
%System%\IEXPLORE.exe
%System%\RAVMOND.exe
%System%\WinHelp.exe
%System%\Update_OB.exe
%System%\TkBellExe.exe
%System%\hxdef.exe
%System%\Kernel66.dll
2.在硬碟根目錄下生成檔案
CDROM.COM autorun.inf .
在系統目錄下生成
iexpolrer.exe -- 61,440 位元組
搜尋.exe檔案,一旦成功便創建檔案:
%System%\win~.uuu --- 設為.exe檔案
3.iexpolrer.exe檔案運行有如下操作:
/複製自身為%System%\spollsv.exe
/修改註冊表:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Shell Extension" = "%system%\spollsv.exe"
/試圖在有DCOM RPC漏洞的機器的系統目錄下創建檔案a,a為一個FTP腳本檔案用於獲取感染系統里的hxdef.exe.
/可能在系統目錄下生成檔案:results.txt ,win2k.txt ,winxp.txt
4.修改註冊表:
/添加鍵值
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Winhelp"="%system%\TkBellExe.exe..."
"Microsoft Associates, Inc."="%system%\iexplorer.exe"
"Hardware Profile"="%system%\hxdef.exe..."
"Program in Windows"="%system%\IEXPLORE.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"SystemTra"="%Windor%\CDPlay.EXE"
"COM++ System"="exploier.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"run"="RAVMOND.exe"
/修改鍵值
[HKEY_CLASSES_ROOT\txtfile\shell\open\command]
"(Default)"="Update_OB.exe%1"
[HKEY_LOCAL_MACHINE\Software\Classes\txtfile\shell\open\command]
"(Default)"="Update_OB.exe%1"
/生成子鍵
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ZMXLIB1
5.停止下列服務:
Rising Realtime Monitor Service
Symantec Antivirus Server
Symantec Client
KAV Duba NAV kill RavMon.exe Rfw.exe Gate McAfee Symantec SkyNet rising
7.搜尋所有的移動硬碟(包括隨身碟等)和映射驅動器,將其中的.EXE檔案的擴展名修改為.zmx,並設定為隱藏和系統屬性,然後將病毒自身取代原檔案。
8.監聽連線埠6000,將盜取的密碼等信息保存在C:\NetLog.txt中,並傳送給攻擊者。
9.通過將自身複製到KaZaA的已分享檔案夾,可以通過P2P軟體進行傳播。共享的檔案名稱是wrar320sc、REALONE、BlackIcePCPSetup_creak、Passware5.3、word_pass_creak、HEROSOFT、orcard_original_creak、rainbowcrack-1.1-win、W32Dasm、setup等,檔案的擴展名可能是.exe、.src、.bat、.pif。
10.複製自身到網路已分享資料夾及其子目錄下,檔案名稱為WinRAR.exe 、Internet Explorer.bat 、Documents and Settings.txt.exe 、Microsoft Office.exe 、Windows Media Player.zip.exe 、Support Tools.exe 、WindowsUpdate.pif 、Cain.pif 、MSDN.ZIP.pif 、autoexec.bat 、findpass.exe 、client.exe 、i386.exe 、winhlp32.exe 、xcopy.exe 、mmc.exe等。
11.掃描附近的電腦是否存在漏洞和弱口令,並利用內置的弱口令庫進行登入。一旦成功登入到遠程計算機,蠕蟲便複製自身為
\\<計算機名>\admin$\%System%\NetManager.exe 並將此檔案作為"Windows Management NetWork Service Extensions"服務開始運行
12.進入 MAPI-compliant 郵件客戶端(包括:Microsoft Outlook)信箱後會回復收件箱中的所有郵件。附屬檔案名可能為:
the hardcore game-.pif
Sex in Office.rm.scr
Deutsch BloodPatch!.exe
s3msong.MP3.pif
Me_nude.AVI.pif
How to Crack all gamez.exe
Macromedia Flash.scr
SETUP.EXE
Shakira.zip.exe
dreamweaver MX (crack).exe
StarWars2 - CloneAttack.rm.scr
Industry Giant II.exe
DSL Modem Uncapper.rar.exe
joke.pif
Britney spears nude.exe.txt.exe
I am For u.doc.exe
13.從下列目錄的.txt, .pl, .wab, .adb, .tbb, .dbx, .asp, .php,
.sht, .htm 類型檔案中搜尋郵件地址
%Windir%\Local Settings
%Documents and Settings%\\local settings
Temporary Internet Files
並用自帶的SMTP引擎傳送自身到上述地址,郵件特徵:
發件人:變化的
主題:下列之一
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
附屬檔案:附屬檔案名為下列之一,擴展名為.bat/.exe/.scr/.pif
document
readme
doc
text
file
data
test
message
body
14.共享%WinDir%\Media資料夾,已分享檔案夾名是Media。
註:%Windir%為變數,一般為C:\Windows 或 C:\Winnt;
%System%為變數,一般為C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000),
或 C:\Windows\System32 (Windows XP)。