基本介紹
- 中文名:I-Worm/Supkp.m
- 病毒類型::網路蠕蟲
- 病毒長度::98,304 bytes
- 危害級別::**
影響平台,傳播過程,
影響平台
Win2000/XP/NT/2003
傳播過程
1.在系統目錄下複製自身為iexplore.exe ,Media32.exe ,RAVMOND.exe ,WinHelp.exe ,Kernel66.dll;在安裝目錄下複製自身為Systra.exe 。
2.搜尋除CD-ROM以外的所有驅動器下的根目錄資料夾,在此蠕蟲複製自身為COMMAND.EXE,並生成AUTORUN.INF。
3.在所有驅動器(除A和B)的根目錄資料夾下生成結構為 <A>.<rar/zip>的壓縮檔案。
<A>為下列之一:WORK setup Important bak letter pass
在這個壓縮檔案里包含了一個蠕蟲副本檔案,結構為:<B>.<ext>
<B>下列之一:WORK setup Important book email PassWord
<ext>下列之一:exe com pif scr
4.在系統目錄下生成檔案:ODBC16.dll,msjdbc11.dll, MSSIGN30.DLL
5.修改註冊表:
修改HKEY_CLASSES_ROOT\exefile\shell\open\command的值改為%System%\Media32.exe
"%1" %*HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下添加
"Program in Windows"="%system%\iexplore.exe"和"VFW Encoder/Decoder
Settings"="RUNDLL32.exe MSSIGN30.DLL ondll_reg"和
"WinHelp"="%system%\WinHelp.exe"鍵值
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunServices下添加"Systemtra"=
"%Windir%\Systra.exe"鍵值
HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\Windows下添加"run"=
"RAVMOND.exe"鍵值生成HKEY_LOCAL_MACHINE\Software\Microsoft
\Windows\CurrentVersion\ZMXLIB1子鍵
6.蠕蟲拷貝自身到KaZaA的資料夾下,擴展名為.bat\.exe\.pif\.scr.
7.複製自身到所有網路已分享檔案夾及其子檔案,此外搜尋所有驅動器,嘗試將擴展名為.exe的檔案改為.zmx,並用原檔案名稱複製蠕蟲檔案,設定其為隱藏檔案、系統檔案。
8.創建"Windows Management Protocol v.0 (experimental)" 服務
9.終止一些反病毒軟體進程
10.設安裝目錄下的Media共享。
11.在連線埠6000運行後門程式,用來盜取安全意識薄弱的系統信息和存儲在C:\Netlog.txt檔案里的信息並傳送到特定的地址。
12.掃描本地網路的所有計算機,用自帶的密碼庫進行破解,企圖得到系統管理員許可權。一旦成功,便拷貝自身到其系統目錄下檔案名稱為NetManager32.exe,並作為"Management Service Extension"服務運行。
13.在Explorer.exe或Taskmgr.exe中注入一個進程監視程式,一旦發現蠕蟲被終止就運行%System32%\Iexplore.exe
