“五毒蟲”變種AJ(Worm.Supnot.aj)

病毒名稱: Worm.Supnot.aj

中文名稱: 五毒蟲

威脅級別: 3B

病毒類型: 木馬

受影響系統:Win9x/WinNT/Win2K/WinXP/Win2003

A、病毒利用郵件、DCOM RPC漏洞、區域網路進行瘋狂傳播，導致網路癱瘓等現象

B、開後門，等待黑客連線，造成泄密等損失

C、採用捆綁式感染系統中的EXE檔案，損壞系統

發作現象：

A、如果防毒軟體進程存在，則中止以下進程：

KV

KAV

Duba

NAV

kill

RavMon.exe

Rfw.exe

Gate

McAfee

Symantec

SkyNet

Rising

B、如果防毒軟體服務存在，則中止以下服務：

Symantec AntiVirus Client

Symantec AntiVirus Server

Rising Realtime Monitor Service

C、對網路上的計算機的管理員密碼，進行弱密碼攻擊，如果攻擊成功的話，則病毒感染這台機器。

D、搜尋郵件列表，並試圖發電子郵件，電子郵件的附屬檔案一般名為：

the hardcore game-.pif

Sex in Office.rm.scr

Deutsch BloodPatch!.exe

s3msong.MP3.pif

Me_nude.AVI.pif

How to Crack all gamez.exe

Macromedia Flash.scr

SETUP.EXE

Shakira.zip.exe

dreamweaver MX (crack).exe

StarWars2 - CloneAttack.rm.scr

Industry Giant II.exe

DSL Modem Uncapper.rar.exe

joke.pif

Britney spears nude.exe.txt.exe

I am For u.doc.exe

E、在所有目錄中搜尋後綴名為如下的的檔案

.txt, .pl, .wab, .adb, .tbb, .dbx, .asp, .php, .sht, and .htm

從中找到郵件地址，並用自己的郵件系統傳送郵件

A、病毒運行後會在系統目錄生成如下檔案：

%SystemRoot%\CDPlay.exe

%System%\iexplore.exe

%System%\RAVMOND.exe

%System%\WinHelp.exe

%System%\Update_OB.exe

%System%\TkBellExe.exe

%System%\hxdef.exe

%System%\Kernel66.dll

B、在每個盤符下生成如下兩個檔案

AUTORUN.INF

使用戶一雙擊盤符即會中毒

C、向註冊表添加

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"Hardware Profile"="%system%\hxdef.exe"

"Microsoft Associates, Inc."="%system%\iexplorer.exe"

"Program in Windows"="%system%\IEXPLORE.exe"

"Protected Storage"="rundll32.exe mssign30.dll ondll_reg"

"VFW Encoder/Decoder Settings"="rundll32.exe mssign30.dll ondll_reg"

"WinHelp"="%system%\TkBellExe.exe"

向註冊表添加

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

"SystemTra"="%Windor%\CDPlay.EXE"

"COM++ System"="exploier.exe"\

修改註冊表

HKEY_CLASSES_ROOT\txtfile\shell\open\command

HKEY_LOCAL_MACHINE\Software\Classes\txtfile\shell\open\command

"默認"="vptray.exe %1"

向註冊表添加

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

"run"="RAVMOND.exe"

D、會創建一個名為 "Windows Management Protocol v.0 (experimental)"和"_reg"的兩個服務，服務對應的病毒檔案為msjdbc11.dll 和ondll_server。

E、隨機開啟一個連線埠，作為後門。

F、收集系統信息，存為C:\NETLOG.TXT，每行均以NETDI做為開頭，並將在區域網路中的密碼信息保存到該檔案中。

G、複製自身到所有已分享資料夾中，檔案名稱可能是以下之一：

WinRAR.exe

Internet Explorer.bat

Documents and Settings.txt.exe

Microsoft Office.exe

Windows Media Player.zip.exe

Support Tools.exe

WindowsUpdate.pif

Cain.pif

MSDN.ZIP.pif

autoexec.bat

findpass.exe

client.exe

i386.exe

winhlp32.exe

xcopy.exe

mmc.exe

H、會釋放一個名為Exploier.exe檔案用於將病毒體和EXE檔案進行捆綁。互斥量為：my_10101!

I、搜尋c-z的硬碟,如果發現可移動設備或網路映射，則在此設備中搜尋擴展名為exe的檔案,將原檔案擴展名改為~ex,同時將病毒自身拷貝到此並和原檔案同名。

A、 請使用金山毒霸2004年7月14日的病毒庫可完全處理該病毒。

B、查殺完病毒後，請注意打上最新的系統補丁，特別是衝擊波、震盪波的補丁

C、修改弱密碼，強烈建議致少使用4個字母和4個數字的組合密碼

D、養成良好習慣，不輕易打開即時通訊工具傳來的網址，不打有附屬檔案的郵件

E、打開金山網鏢和金山毒霸病毒防火牆，防止病毒進入系統。