大家小心了,一个恶心的蠕虫病毒出现(好像借用了不少木马的能力)
不幸啊~~~偶中招了~~~开始以为是个木马,最后到网上查了下,原来是个恶意蠕虫~~
很恶心的东西……运行时会自动中止一些防火墙和杀毒软件。
虽然可以让人立刻知道自己中招,但是给清除还是带来了一些麻烦……
以下是江民的警报:
江民今日提醒您注意:在今天的病毒中I-Worm/Supkp.aj和Backdoor/Alexay值得关注。
超级密码杀手I-Worm/Supkp.aj
病毒别名:爱情后门(LoveGate)
病毒类型:混合型蠕虫病毒
病毒大小:可变
传播方式:邮件、局域网共享、感染文件等
危害等级:★★★☆
“超级密码杀手”病毒的最新变种I-Worm/Supkp.aj在被感染计算机上搜索电子邮件地址,通过其自带的SMTP引擎发送大量带毒邮件。还通过系统漏洞、弱口令、共享软件、感染文件等多种方式进行传播,是典型的混合型恶性蠕虫病毒。
具体分析报告如下:
1、病毒运行后,将复制自身到下列文件:
%System%hxdef.exe,166 400字节
%System%iexplore.exe,166 400字节
%System%kernel66.dll,166 400字节
%System% real.exe,166 400字节
%System% tkbellexe.exe,166 400字节
%System%update_ob.exe,166 400字节
%WinDir%office.exe,73 728字节
%WinDir%video.exe,166 400字节
2、同时释放病毒包含的其他4个模块,分别是:
%System% iexplorer.exe,86 016字节
%System%lmmib20.dll,53 248字节
%System%msjdbc11.dll,53 248字节
%System%mssign30.dll,53 248 字节
%System%odbc16.dll,53 248 字节
%System%temp.uuu,242 184 字节
%System%winpatch.dll,32 768字节
3.在硬盘根目录创建自动播放配置程序和病毒自身,这样在打开硬盘时,病毒就会启动
C:upDate.exe 166400字节
C:AUTORUN.INF 50字节
4.在系统服务中添加下列服务
“_reg”
“Windows Management Protocol v.0 (experimental)”
5、搜索局域网的共享资源,在共享文件夹中释放病毒本身或压缩包形式的复制品。
名字可能如下:
EnterNet 500 V1.5 RC1.exe
FoxMail V5.0.500.0.exe
eMule-0.42e-VeryCD0407Install.exe
Microsoft Office.exe
Windows Media Player.zip.exe
Support Tools.exe
Minilyrics_Std_2.7.233.pif
Flash2X Flash Hunter v1.1.2.pif
Windows 2000 sp4.ZIP.exe
autoexec.bat
Daemon Tools v3.41.exe
Serv-U FTP Server 4.1.exe
i386.exe
Winamp skin_FinalFantasy.exe
WINISO 5.3.exe
WinGate V5.0.10 Build.exe
Network Associates Inc.
6、在注册表中添加多个启动项,如下:
“Microsoft Inc”=iexplorer.exe
“Program In Windows”=%Systemr%IEXPLORE.EXE
“Protected Storage”=RUNDLL32.EXE MSSIGN30.DLL ondll_reg
“VFW Encoder/Decoder Settings”=RUNDLL32.EXE MSSIGN30.DLL ondll_reg
“WinHelp”= %System%TkBellExe.exe
“Installed shell32.dll”=Office.exe
“Soft Profile Inc”=%System%hxdef.exe
“SystemTra” =%WinDir%Video.EXE
7、病毒会感染当前文件夹和desktop文件夹及它们的子文件夹中的文件。感染后文件长度增加240640字节。
8、共享%WinDir%java文件夹,共享文件夹名是Java.
9、修改文本文件关联,这样打开文本文件的时候,病毒就会得到运行。
"" = update_ob.exe %1
10、扫描附近的电脑是否存在漏洞和弱口令,一旦发现就试图感染它。
11.通过遍历Inetpub和Documents and Settings目录及它们的子目录,来搜索email地址,并通过自身携带的smtp引擎向这些email地址发病毒邮件。
12、通过OutLook直接回复OutLook邮箱中已有的信件,欺骗性较高。
13、通过将自身复制到KaZaA的共享文件夹,可以通过P2P软件进行传播。共享的文件名是wrar320sc、REALONE、BlackIcePCPSetup_creak、Passware5.3、word_pass_creak、HEROSOFT、orcard_original_creak、rainbowcrack-1.1-win、W32Dasm、setup等,文件的扩展名可能是。exe、。src、。bat、。pif.
14、可以终止目前国内销售的大部分杀毒软件和防火墙,包括江民、毒霸、瑞星、天网、诺顿、KILL、McAfee等。
15、将收集的密码等信息保存在C:NetLog.txt中,发送给病毒在作者[email protected].
16、搜索所有的移动硬盘(包括U盘等)和映射驱动器,将其中的。EXE文件的扩展名修改为。~ex,并设置为隐藏和系统属性,然后将病毒自身取代原文件。
Backdoor/Alexay
病毒长度:11,264 字节, 28,160 字节, 170,215 字节
病毒类型:后门
危害等级:*
影响平台:Win9X/2000/XP/NT/Me
Backdoor/Alexay是一个后门木马,感染此木马后黑客可以完全控制计算机,并打开端口2707进行监听。
传播过程及特征:
1.生成文件:
%System%SystemTray.exe
%System%Sysstart.exe
2.修改注册表;
"SystemTray"="%system%SystemTray.exe"
3.在进程表中定期搜索下列文件,并终止其运行:
Filemon.exe
Regmon.exe
4.打开端口2707并在此监听黑客命令:
盗取密码
发送邮件
注册表编辑
上传下载文件
运行文件
注:%WinDir%为变量,一般为C:Windows 或 C:Winnt;%System%为变量,一般为C:WindowsSystem (Windows 95/98/Me), C:WinntSystem32 (Windows NT/2000),或 C:WindowsSystem32 (Windows XP
回复: 大家小心了,一个恶心的蠕虫病毒出现(好像借用了不少木马的能力)
值得注意的是……这个病毒还在继续升级更新,这个版本已经加入了木马的功能,
HOHOHOHO~~木马类病毒难杀干净可是出了名了~~~
大家小心了啊~~
回复: 大家小心了,一个恶心的蠕虫病毒出现(好像借用了不少木马的能力)
病毒米什么,但这种东东也来搞升级...会害死人的|||
回复: 大家小心了,一个恶心的蠕虫病毒出现(好像借用了不少木马的能力)
那病毒名字还不错~
页:
[1]