Worm.Supnot.u

惡郵差變種U

蠕蟲

Win9x/Win2000/Winnt/WinXP

“惡郵差”系例

vc多重壓縮

利用郵件和區域網路高速傳播

%SYSDIR%IEXPLORE.EXE

%SYSDIR%kernel66.dll

%SYSDIR%RAVMOND.exe

%SYSDIR%SysBoot.EXE

%SYSDIR%WinDriver.exe

%SYSDIR%winexe.exe

%SYSDIR%WinGate.exe

%SYSDIR%WinHelp.exe

%DRIVER%SysBoot.exe

此檔案將在系統中殖入遠程後門代碼

%SYSDIR%

eg678.dll

%SYSDIR%Task688.dll

病毒將釋放一個利用QQ傳送訊息傳播的病毒：“Worm.LovGate.v.QQ”，相關檔案名稱目錄為：

%SYSDIR%internet.exe

%SYSDIR%svch0st.exe

HKEY_CLASSES_ROOTexefileshellopencommand

(默認) : %SYSDIR%WINEXE.EXE "%1" %*

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun

"WinGate initialize" = "%SYSDIR%WINGATE.EXE -REMOTESHELL"

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun

"WinHelp" = "%SYSDIR%WINHELP.EXE"

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun

"Remote Procedure Call Locator" = "RUNDLL32.EXE REG678.DLL ONDLL_REG"

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun

"Program In Windows" = "%SYSDIR%IEXPLORE.EXE"

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRunServices

"SystemTra" = "%WINDIR%SYSTRA.EXE /SYSTRA:KERNEL32.DLL"

在win9x下還修改系統檔案：

WIN.INI

[WINDOWS]

"RUN" = "RAVMOND.EXE"

在win2k、NT、XP下註冊服務：

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesll_reg

Display Name = "ll_reg "

IMAGEPATH = "RUNDLL32.EXE TASK688.DLL ONDLL_SERVER"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindows Management Instrumentation Driver Extension

Display Name = "Windows Management Instrumentation Driver Extension"

IMAGEPATH = "%SYSTEM%WINDRIVER.EXE -START_SERVER"

病毒也將在每一個硬碟和可移動盤的根目錄下建立一個檔案：AUTORUN.INF的檔案，內容為：

[AUTORUN]

Open="%DRIVER%:SysBoot.EXE" /StartExplorer

其中%DRIVER%為相應的驅動器。

這樣在用戶打開該驅動器後將運行病毒

病毒可能會將EXE檔案改名為ZMX檔案，並設定屬性為“隱藏”和“系統”，如：病毒搜尋到一個名為“Winword.exe”的檔案，會將其改名“Winword.zmx”並設定屬性“隱藏”和“系統”，然後釋放一個名為“Winword.exe”的病毒複本。

這個功能的條件是：病毒運行後，每隔一小時會檢查系統中是否有“網路映射驅動器”和“可移動驅器”，如果有，側會進行上述變向的檔案感染。

弱口令密碼試探攻擊、放出後門程式、盜取密碼

對收信箱裡的郵件進行回復（傳播）。

郵件標題隨機從病毒體內選出

當病毒被運行後每隔一定時間傳送一次通知郵件給

位於163.com的一個信箱,郵件內容為中毒系統的ip地址，以便利用病毒的後門進行控制

已分享資料夾會塞滿此蠕蟲的檔案，一般容易辨認。