I-Worm/Supkp.ag
I-Worm/Supkp.ag是群发邮件蠕虫病毒,利用DCOM RPC漏洞在TCP端口135进行传播,还通过网络共享进行传播,黑客可以任意访问感染蠕虫的系统,并可以在任意端口打开后门。
I-Worm/Supkp.ag
病毒长度:183,296 字节
病毒类型:网络蠕虫
危害等级:**
影响平台:Win9X/2000/XP/NT/Me/2003
传播过程及特征:
1.复制自身:
%Windir%\\SYSTRA.EXE
%Windir%\\DRWTSN16.EXE
%System%\\hxdef.exe
%System%\\a(57 bytes)
%System%\\IEXPLORE.EXE
%System%\\RAVMOND.exe
%System%\\internet.exe
%System%\\svch0st.exe
%System%\\kernel66.dll
生成文件:
%System%\\ODBC16.dll -- 53,248 字节
%System%\\msjdbc11.dll -- 53,248 字节
%System%\\MSSIGN30.DLL -- 53,248 字节
%System%\\WIN32VXD.DLL -- 53,248 字节
%System%\\NetMeeting.exe -- 61,440 字节
2.NetMeeting.exe文件运行有如下操作:
/复制自身为%System%\\spollsv.exe
/修改注册表:
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]
"Shell Extension" = "%system%\\spollsv.exe"
/试图在有DCOM RPC漏洞的机器的系统目录下创建文件a,a为一个FTP脚本文件用于获取感染系统里的hxdef.exe.
/可能在系统目录下生成文件:results.txt ,win2k.txt ,winxp.txt
3.在硬盘根目录下生成文件AUTORUN.INF,并复制自身为COMMAND.EXE。此外还生成文件:.
4.修改注册表:
在注册表启动项下添加键值
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]
"NetworkAssociates Inc" = "internet.exe"
"Hardware Profile" = "%system%\\hxdef.exe"
"Program In Windows" = "%system%\\IEXPLORE.EXE"
"VFW Encoder/Decoder Settings" = "RUNDLL32.EXEMSSIGN30.DLL ondll_reg"
"Protected Storage" = "RUNDLL32.EXE MSSIGN30.DLLondll_reg"
"S0undMan" = "%system%\\svch0st.exe"
"Microsoft NetMeeting Associates, Inc." = NetMeeting.exe"
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\runServices]
"SystemTra"="%Windor%\\SysTra.EXE"
"COM++ System"="DRWTSN16.EXE"
Windows NT/2000/XP
[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows]
"run"="RAVMOND.exe"
5.结束包含下列字符串的进程(涵括了毒霸、瑞星、天网、诺顿、KILL、McAfee等杀毒及防火墙软件):
KAV
Duba
NAV
kill
RavMon.exe
Rfw.exe
Gate
McAfee
Symantec
SkyNet
rising
6.复制自身到网络共享目录及其子文件夹,文件名如下:
WinRAR.exe
Internet Explorer.bat
Documents and Settings.txt.exe
Microsoft Office.exe
Windows Media Player.zip.exe
Support Tools.exe
WindowsUpdate.pif
Cain.pif
MSDN.ZIP.pif
autoexec.bat
findpass.exe
client.exe
i386.exe
winhlp32.exe
xcopy.exe
mmc.exe
7.扫描网络内的所有计算机,企图用内置密码库里的密码获取管理员登陆权限。一旦成功登陆到远程计算机,蠕虫便复制自身:
\\\\<计算机名>\\admin$\\%System%\\NetManager.exe 并将此文件作为"Windows Management NetWork Service Extensions"服务开始运行。
8.从感染病毒的计算机上搜索合法的邮件地址,然后利用自带的SMTP引擎发送自身到上述地址,邮件特征:
主题:下列之一
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
附件:.exe/.scr/.pif/.com/.rar类型文件
此外进入 MAPI-compliant 邮件客户端(包括:Microsoft Outlook)邮箱后会回复收件箱中的所有邮件。
注:%Windir%为变量,一般为C:\\Windows 或 C:\\Winnt;
%Program Files%一般为c:\\Program Files;
%System%为变量,一般为C:\\Windows\\System (Windows 95/98/Me), C:\\Winnt\\System32 (Windows NT/2000),
或 C:\\Windows\\System32 (Windows XP)。