五毒蟲:影響範圍,病毒狀況,技術細節,預防及解決,忠告,

“五毒蟲”病毒是繼震盪波病毒之後又一巨大危害的病毒，初步分析此病毒為國人所編寫。它綜合了“衝擊波”、“QQ小尾巴”、“MYDOOM”、“惡鷹”、“木馬”等眾多病毒危害於一身。中毒後的計算機可能會出現如下的所有或任意一種現象：向外瘋狂傳送垃圾郵件、60秒倒計時重啟、向QQ好友傳送垃圾信息、打不開防毒軟體、向網路內其他機器攻擊、上網速度緩慢等。

基本介紹

中文名：五毒蟲
外文名：Supnot
別稱：郵件蠕蟲、漏洞蠕蟲、黑客、後門
綜合五毒：衝擊波、QQ小尾巴、MYDOOM、惡鷹
病毒類型：木馬
病毒狀況：中止各類防毒軟體進程，郵件傳播
預防：漏洞掃描，切斷五毒蟲傳播途徑

影響範圍,病毒狀況,技術細節,預防及解決,忠告,

影響範圍

受影響系統:

Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000，Windows XP，Windows Server 2003

病毒變種:Worm.Supnot.

Worm.Supnot.

★ 目前該病毒中危害級別最高的 Worm.Supnot./Worm.Supnot.aj 兩個變種。

病毒狀況

該病毒不僅可以中止各類防毒軟體進程，而且還可通過郵件大量傳播，使更多用戶受到感染。它可對系統造成更加嚴重威脅，不僅可打開系統後門讓黑客更容易連結到用戶計算機，攔截IE、QQ，網路遊戲等應用程式，造成信息泄密。

該病毒作者利用了多種重大病毒原始碼進行編寫，它已經幾乎具有了所有的病毒破壞方式：結束防毒軟體進程、郵件瘋狂傳播、QQ引誘訊息傳播、據有“木馬”性質來盜取網路遊戲賬號等各種應用程式的密碼、對網路造成嚴重堵塞。

另外，“五毒蟲”病毒還會利用QQ傳送帶網址的訊息，欺騙用戶下載此病毒。

該病毒也利用了郵件進行傳播，並會傳送大量的垃圾郵件。帶毒郵件的附屬檔案名如下，請用戶一定要小心，不要上當中招。

技術細節

以下為該病毒的行為：

A、病毒運行後會將自身複製到系統目錄下：

%SystemRoot% SYSTRA.EXE

%System% hxdef.exe

%System% IEXPLORE.EXE

%System% RAVMOND.exe

%System%

ealsched.exe

%System% vptray.exe

%System% kernel66.dll

B、在系統安裝目錄中生成

%System% ODBC16.dll

%System% msjdbc11.dll

%System% MSSIGN30.DLL

%System% LMMIB20.DLL

%System% NetMeeting.exe

%Windir% suchost.exe

%System% spollsv.exe

在每個盤符下生成如下兩個檔案

AUTORUN.INF

COMMAND.EXE

使用戶一雙擊盤符即會中毒

C、在註冊表主鍵：

HKEY_CURRENT_USER SOFTWARE Microsoft Windows CurrentVersion Run

下添加如下鍵值：

WinHelp = %SYSTEM%

ealsched.exe

Hardware Profile = %SYSTEM% hxdef.exe

Mircorsoft NetMeeting Associates, Inc. = NetMeeting.exe

Program In Windows = %system% IEXPLORE.EXE

VFW Encoder/Decoder Settings = RUNDLL32.EXE MSSIGN30.DLL ondll_reg

Protected Storage = RUNDLL32.EXE MSSIGN30.DLL ondll_reg

Shell Extension = %system% spollsv.exe

對註冊表主鍵：

HKEY_LOCAL_MACHINE SOFTWARE Classes txtfile shell open command

修改如下鍵值

默認 = vptray.exe %1

在註冊表主鍵

HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion

unServices

下添加如下鍵值：

SystemTra = %Windor% SysTra.EXE

COM++ System = suchost.exe

對於win98/me系統會對%system% win.ini檔案內添加如下內容：

run=%System% RAVMOND.exe

D、會創建一個名為 Windows Management Protocol v.0 (experimental) 和 _reg 的兩個服務，服務對應的病毒檔案為msjdbc11.dll，入口參數為ondll_server。

E、隨機開啟一個連線埠，作為後門。

F、收集系統信息，存為C: NETLOG.TXT，每行均以NETDI做為開頭

G、複製自身到所有已分享資料夾中，檔案名稱可能是以下之一：

WinRAR.exe

Internet Explorer.bat

Documents and Settings.txt.exe

Microsoft Office.exe

Windows Media Player.zip.exe

Support Tools.exe

WindowsUpdate.pif

Cain.pif

MSDN.ZIP.pif

autoexec.bat

findpass.exe

client.exe

i386.exe

winhlp32.exe

xcopy.exe

mmc.exe

G、會釋放一個名為suchost.exe檔案用於將病毒體和EXE檔案進行捆綁。互斥量為：I090909!

H、會在網路映射磁碟或可移動磁碟中搜尋EXE檔案，替換原檔案，並將原檔案改名為~ex，同時生成tools.rar，壓縮檔中包括Tools.scr檔案為病毒程式。

預防及解決

1、國內外著名防毒軟體都對病毒庫進行了升級更新，請各用戶注意及時升級防毒軟體。

a）啟動漏洞掃描，並把有漏洞的機器安裝漏洞修復程式，以保證電腦免受病毒攻擊；

b）執行弱密碼及可寫共享掃描，並立即修正，以切斷“五毒蟲”傳播途徑。

2、如果中了該病毒，啟動不了防毒軟體主程式的情況下，可以通過如下步驟解決。

第一步：馬上使用防毒軟體開始選單程式內的單獨升級模組進行升級；

第二步：啟動計算機到安全模式，啟動防毒軟體進行查殺；

目前國內著名廠商如：金山、瑞星，國外諾頓等都擁有單獨的升級模組，可以輕易的解決該病毒。

★ “五毒蟲”專殺工具 (版本：2004.7.14.9) ----查殺惡郵差最新8變種(即“五毒蟲 )

毒霸下載

★ 下載使用3721五毒蟲病毒專殺工具，即可清理該病毒及其變種。

忠告

良好的上網習慣可以減輕中毒的幾率：

1、查殺完病毒後，請注意打上最新的系統補丁，特別是衝擊波、震盪波的補丁

2、修改弱密碼，強烈建議致少使用4個字母和4個數字的組合密碼

3、養成良好習慣，不輕易打開即時通訊工具傳來的網址，不打有附屬檔案的郵件

4、打開金山網鏢和金山毒霸病毒防火牆，防止病毒進入系統。

五毒蟲

基本介紹

影響範圍

病毒狀況

技術細節

預防及解決

忠告

相關詞條

熱門詞條