Worm/Supkp.w:基本信息,傳播過程,

I-Worm/Supkp.w病毒長度：128,000 位元組病毒類型：網路蠕蟲危害等級：**影響平台：Win9X/2000/XP/NT/Me

基本介紹

中文名：Worm/Supkp.w
病毒長度：128,000 位元組
病毒類型：網路蠕蟲
影響平台：Win9X/2000/XP/NT/Me

基本信息,傳播過程,

基本信息

I-Worm/Supkp.w是用C++編寫並用JDPack和ASPack壓縮過的群發郵件蠕蟲，企圖傳送自身到在從感染計算機上找到的所有郵件地址。利用DCOM RPC 漏洞TCP連線埠135進行傳播。郵件的發件人地址是偽造的，主題和郵件正文都是變化的。

傳播過程

1.複製自身為：

%Windir%\Systra.exe

%System%\Hxdef.exe

%System%\iexplore.exe

%System%\RAVMOND.exe

%System%\Kernel66.dll -- 屬性為隱藏、唯讀、系統檔案。

%System%\WinHelp.exe

生成檔案（蠕蟲的後門組件）：

%System%\ODBC16.dll -- 53,760 bytes

%System%\Msjdbc11.dll -- 53,760 bytes

%System%\MSSIGN30.DLL -- 53,760 bytes

%System%\LMMIB20.DLL -- 53,760 bytes

生成檔案：

%System%\NetMeeting.exe -- 61,440 bytes

NetMeeting.exe檔案運行有如下操作：

/複製自身為%System%\spollsv.exe

/修改註冊表：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Shell Extension" = "%system%\spollsv.exe"

/試圖在有DCOM RPC漏洞的機器的系統目錄下創建檔案a，a為一個FTP腳本檔案用於獲取感染系統里的hxdef.exe.

/可能在系統目錄下生成檔案：results.txt ，win2k.txt ，winxp.txt

2.修改註冊表：

添加鍵值

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"Hardware Profile"="%System%\hxdef.exe

"Microsoft NetMeeting Associates, Inc."="NetMeeting.exe"

"Program in Windows"="%System%\IEXPLORE.EXE"

"Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"

"Shell Extension"="%System%\spollsv.exe"

"VFW Encoder/Decoder Settings"="RUNDLL32.exe MSSIGN30.DLL ondll_reg"

"WinHelp"="%System%\WinHelp.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

"SystemTra"="%Windir%\Systra.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]

"run"="RAVMOND.exe"

生成子鍵：

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ZMXLIB1]

3.終止下列服務：

Rising Realtime Monitor Service

Symantec Antivirus Server

Symantec Client

創建服務：

"Windows Management Protocol v.0 (experimental)" -- 映射到"Rundll32.exe msjdbc11.dll ondll_server"。

"_reg" -- 映射到"Rundll32.exe msjdbc11.dll ondll_server"。

4.結束包含下列字元串的進程(涵括了江民、毒霸、瑞星、天網、諾頓、KILL、McAfee等防毒及防火牆軟體)：

KV KAV Duba NAV kill RavMon.exe Rfw.exe Gate McAfee Symantec SkyNet rising

5.在連線埠6000運行後門程式，此程式用來盜取系統信息並將其保存到C:\Netlog.txt，然後蠕蟲將盜取的信息傳送給黑客。

6.複製自身到所有的網路已分享檔案夾及其子資料夾下，檔案名稱如下：

WinRAR.exe

Internet Explorer.bat

Documents and Settings.txt.exe

Microsoft Office.exe

Windows Media Player.zip.exe

Support Tools.exe

WindowsUpdate.pif

Cain.pif

MSDN.ZIP.pif

autoexec.bat

findpass.exe

client.exe

i386.exe

winhlp32.exe

xcopy.exe

mmc.exe

7.掃描網路內的所有計算機，企圖用內置密碼庫里的密碼獲取管理員登入許可權。一旦成功登入到遠程計算機，蠕蟲便複製自身為

\\<計算機名>\admin$\%System%\NetManager.exe 並將此檔案作為"Windows Management NetWork Service Extensions"服務開始運行。

8.病毒會在Explorer.exe或Taskmgr.exe里注入一執行緒，用來探測蠕蟲是否運行，如果沒有運行或已經被刪除，那么它會嘗試進行複製並運行。

9.在任意一個連線埠開始運行FTP服務，不需任何驗證，這樣便意味著任何人都可以訪問感染病毒的計算機。

10.創建網路已分享資料夾："%Windir%\Media"。

11.在除A和B的所有驅動器的根目錄下生成一個壓縮檔檔案，結構為： .

為下列之一：

WORK

setup

Important

bak

letter

pass

此檔案包含了一個蠕蟲副本檔案，結構為 .

下列之一：

WORK

setup

Important

book

PassWord

12.在除光碟機外的所有驅動器的根目錄下生成檔案Autorun.inf，並在此複製自身為Command.com，導致你一雙擊驅動器圖示蠕蟲便開始運行的後果。

13.掃描所有的驅動器里的所有.exe檔案蠕蟲將之擴展名改為.zmx，並設此檔案屬性設為隱藏和系統檔案，然後以此檔案的原始檔案名稱複製自身。

14.進入 MAPI-compliant 郵件客戶端（包括：Microsoft Outlook）信箱後會回復收件箱中的所有郵件。

15.從硬碟驅動器和唯讀驅動器下的下列類型檔案中搜尋郵件地址：.txt .htm .sht .php .asp .dbx .tbb .adb .pl .wab；

掃描系統WAB檔案，臨時資料夾和硬碟，用以發現合法的郵件地址。

利用自帶的SMTP引擎傳送自身到找到的郵件地址，郵件特徵：

發件人：隨機

主題：下列之一

test

hello

Mail Delivery System

Mail Transaction Failed

Server Report

Status

Error

郵件正文：可能是下列之一

It's the long-awaited film version of the Broadway hit. The message sent as a binary attachment.

The message contains Unicode characters and has been sent as a binary attachment.

Mail failed. For further assistance, please contact!

附屬檔案：擴展名為.exe /.scr /.pif /.cmd /.bat /.zip /.rar等的檔案

註：%Windir%為變數，一般為C:\Windows 或 C:\Winnt；

%System%為變數，一般為C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000),

或 C:\Windows\System32 (Windows XP)。

Worm/Supkp.w

基本介紹

基本信息

傳播過程

相關詞條

熱門詞條