I-Worm/Supkp.af
I-Worm/Supkp.af
I-Worm/Supkp.af
病毒长度:152,064 字节
病毒类型:网络蠕虫
危害等级:**
影响平台:Win9X/2000/XP/NT/Me/2003
I-Worm/Supkp.af是群发邮件蠕虫,企图发送自身到在从感染计算机上找到的所有邮件地址。利用DCOM RPC 漏洞TCP端口135进行传播,还通过网络共享进行传播。邮件的发件人地址是伪造的,主题和邮件正文都是变化的。
传播过程及特征:
1.复制自身:
%Windir%\\CDPlay.exe
%Windir%\\Exploier.exe
%System%\\IEXPLORE.exe
%System%\\RAVMOND.exe
%System%\\WinHelp.exe
%System%\\Update_OB.exe
%System%\\TkBellExe.exe
%System%\\hxdef.exe
%System%\\Kernel66.dll
2.在硬盘根目录下生成文件
CDROM.COM autorun.inf .
在系统目录下生成
iexpolrer.exe -- 61,440 字节
搜索.exe文件,一旦成功便创建文件:
%System%\\win~.uuu --- 设为.exe文件
3.iexpolrer.exe文件运行有如下操作:
/复制自身为%System%\\spollsv.exe
/修改注册表:
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]
"Shell Extension" = "%system%\\spollsv.exe"
/试图在有DCOM RPC漏洞的机器的系统目录下创建文件a,a为一个FTP脚本文件用于获取感染系统里的hxdef.exe.
/可能在系统目录下生成文件:results.txt ,win2k.txt ,winxp.txt
4.修改注册表:
/添加键值
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]
"Winhelp"="%system%\\TkBellExe.exe..."
"Microsoft Associates, Inc."="%system%\\iexplorer.exe"
"Hardware Profile"="%system%\\hxdef.exe..."
"Program in Windows"="%system%\\IEXPLORE.exe"
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices]
"SystemTra"="%Windor%\\CDPlay.EXE"
"COM++ System"="exploier.exe"
[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows]
"run"="RAVMOND.exe"
/修改键值
[HKEY_CLASSES_ROOT\\txtfile\\shell\\open\\command]
"(Default)"="Update_OB.exe%1"
[HKEY_LOCAL_MACHINE\\Software\\Classes\\txtfile\\shell\\open\\command]
"(Default)"="Update_OB.exe%1"
/生成子键
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\ZMXLIB1
5.停止下列服务:
Rising Realtime Monitor Service
Symantec Antivirus Server
Symantec Client
6.结束包含下列字符串的进程(涵括了毒霸、瑞星、天网、诺顿、KILL、McAfee等杀毒及防火墙软件):
KAV Duba NAV kill RavMon.exe Rfw.exe Gate McAfee Symantec SkyNet rising
7.搜索所有的移动硬盘(包括U盘等)和映射驱动器,将其中的.EXE文件的扩展名修改为.zmx,并设置为隐藏和系统属性,然后将病毒自身取代原文件。
8.监听端口6000,将盗取的密码等信息保存在C:\\NetLog.txt中,并发送给攻击者。
9.通过将自身复制到KaZaA的共享文件夹,可以通过P2P软件进行传播。共享的文件名是wrar320sc、REALONE、BlackIcePCPSetup_creak、Passware5.3、word_pass_creak、HEROSOFT、orcard_original_creak、rainbowcrack-1.1-win、W32Dasm、setup等,文件的扩展名可能是.exe、.src、.bat、.pif。
10.复制自身到网络共享目录及其子目录下,文件名为WinRAR.exe 、Internet Explorer.bat 、Documents and Settings.txt.exe 、Microsoft Office.exe 、Windows Media Player.zip.exe 、Support Tools.exe 、WindowsUpdate.pif 、Cain.pif 、MSDN.ZIP.pif 、autoexec.bat 、findpass.exe 、client.exe 、i386.exe 、winhlp32.exe 、xcopy.exe 、mmc.exe等。
11.扫描附近的电脑是否存在漏洞和弱口令,并利用内置的弱口令库进行登陆。一旦成功登陆到远程计算机,蠕虫便复制自身为
\\\\<计算机名>\\admin$\\%System%\\NetManager.exe 并将此文件作为"Windows Management NetWork Service Extensions"服务开始运行
12.进入 MAPI-compliant 邮件客户端(包括:Microsoft Outlook)邮箱后会回复收件箱中的所有邮件。附件名可能为:
the hardcore game-.pif
Sex in Office.rm.scr
Deutsch BloodPatch!.exe
s3msong.MP3.pif
Me_nude.AVI.pif
How to Crack all gamez.exe
Macromedia Flash.scr
SETUP.EXE
Shakira.zip.exe
dreamweaver MX (crack).exe
StarWars2 - CloneAttack.rm.scr
Industry Giant II.exe
DSL Modem Uncapper.rar.exe
joke.pif
Britney spears nude.exe.txt.exe
I am For u.doc.exe
13.从下列目录的.txt, .pl, .wab, .adb, .tbb, .dbx, .asp, .php,
.sht, .htm 类型文件中搜索邮件地址
%Windir%\\Local Settings
%Documents and Settings%\\\\local settings
Temporary Internet Files
并用自带的SMTP引擎发送自身到上述地址,邮件特征:
发件人:变化的
主题:下列之一
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
附件:附件名为下列之一,扩展名为.bat/.exe/.scr/.pif
document
readme
doc
text
file
data
test
message
body
14.共享%WinDir%\\Media文件夹,共享文件夹名是Media。
注:%Windir%为变量,一般为C:\\Windows 或 C:\\Winnt;
%System%为变量,一般为C:\\Windows\\System (Windows 95/98/Me), C:\\Winnt\\System32 (Windows NT/2000),
或 C:\\Windows\\System32 (Windows XP)。