I-Worm/Supkp.ag

I-Worm/Supkp.ag是群发邮件蠕虫病毒，利用DCOM RPC漏洞在TCP端口135进行传播，还通过网络共享进行传播，黑客可以任意访问感染蠕虫的系统，并可以在任意端口打开后门。

I-Worm/Supkp.ag

病毒长度：183,296 字节

病毒类型：网络蠕虫

危害等级：**

影响平台：Win9X/2000/XP/NT/Me/2003

传播过程及特征：

1.复制自身：

%Windir%\\SYSTRA.EXE

%Windir%\\DRWTSN16.EXE

%System%\\hxdef.exe

%System%\\a(57 bytes)

%System%\\IEXPLORE.EXE

%System%\\RAVMOND.exe

%System%\\internet.exe

%System%\\svch0st.exe

%System%\\kernel66.dll

生成文件：

%System%\\ODBC16.dll -- 53,248 字节

%System%\\msjdbc11.dll -- 53,248 字节

%System%\\MSSIGN30.DLL -- 53,248 字节

%System%\\WIN32VXD.DLL -- 53,248 字节

%System%\\NetMeeting.exe -- 61,440 字节

2.NetMeeting.exe文件运行有如下操作：

/复制自身为%System%\\spollsv.exe

/修改注册表：

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]

"Shell Extension" = "%system%\\spollsv.exe"

/试图在有DCOM RPC漏洞的机器的系统目录下创建文件a，a为一个FTP脚本文件用于获取感染系统里的hxdef.exe.

/可能在系统目录下生成文件：results.txt ，win2k.txt ，winxp.txt

3.在硬盘根目录下生成文件AUTORUN.INF，并复制自身为COMMAND.EXE。此外还生成文件：.

4.修改注册表：

在注册表启动项下添加键值

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]

"NetworkAssociates Inc" = "internet.exe"

"Hardware Profile" = "%system%\\hxdef.exe"

"Program In Windows" = "%system%\\IEXPLORE.EXE"

"VFW Encoder/Decoder Settings" = "RUNDLL32.EXEMSSIGN30.DLL ondll_reg"

"Protected Storage" = "RUNDLL32.EXE MSSIGN30.DLLondll_reg"

"S0undMan" = "%system%\\svch0st.exe"

"Microsoft NetMeeting Associates, Inc." = NetMeeting.exe"

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\runServices]

"SystemTra"="%Windor%\\SysTra.EXE"

"COM++ System"="DRWTSN16.EXE"

Windows NT/2000/XP

[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows]

"run"="RAVMOND.exe"

5.结束包含下列字符串的进程(涵括了毒霸、瑞星、天网、诺顿、KILL、McAfee等杀毒及防火墙软件)：

KAV

Duba

NAV

kill

RavMon.exe

Rfw.exe

Gate

McAfee

Symantec

SkyNet

rising

6.复制自身到网络共享目录及其子文件夹，文件名如下：

WinRAR.exe

Internet Explorer.bat

Documents and Settings.txt.exe

Microsoft Office.exe

Windows Media Player.zip.exe

Support Tools.exe

WindowsUpdate.pif

Cain.pif

MSDN.ZIP.pif

autoexec.bat

findpass.exe

client.exe

i386.exe

winhlp32.exe

xcopy.exe

mmc.exe

7.扫描网络内的所有计算机，企图用内置密码库里的密码获取管理员登陆权限。一旦成功登陆到远程计算机，蠕虫便复制自身:

\\\\<计算机名>\\admin$\\%System%\\NetManager.exe 并将此文件作为"Windows Management NetWork Service Extensions"服务开始运行。

8.从感染病毒的计算机上搜索合法的邮件地址，然后利用自带的SMTP引擎发送自身到上述地址，邮件特征：

主题：下列之一

test

hi

hello

Mail Delivery System

Mail Transaction Failed

Server Report

Status

Error

附件：.exe/.scr/.pif/.com/.rar类型文件

此外进入 MAPI-compliant 邮件客户端（包括：Microsoft Outlook）邮箱后会回复收件箱中的所有邮件。

注：%Windir%为变量，一般为C:\\Windows 或 C:\\Winnt；

%Program Files%一般为c:\\Program Files；

%System%为变量，一般为C:\\Windows\\System (Windows 95/98/Me), C:\\Winnt\\System32 (Windows NT/2000),

或 C:\\Windows\\System32 (Windows XP)。