大家小心了，一个恶心的蠕虫病毒出现（好像借用了不少木马的能力）

Tia

不幸啊~~~偶中招了~~~

开始以为是个木马，最后到网上查了下，原来是个恶意蠕虫~~

很恶心的东西……运行时会自动中止一些防火墙和杀毒软件。

虽然可以让人立刻知道自己中招，但是给清除还是带来了一些麻烦……

以下是江民的警报：





   江民今日提醒您注意：在今天的病毒中I-Worm/Supkp.aj和Backdoor/Alexay值得关注。
    超级密码杀手I-Worm/Supkp.aj

    病毒别名：爱情后门（LoveGate）

    病毒类型：混合型蠕虫病毒

    病毒大小：可变

    传播方式：邮件、局域网共享、感染文件等

    危害等级：★★★☆

    “超级密码杀手”病毒的最新变种I-Worm/Supkp.aj在被感染计算机上搜索电子邮件地址，通过其自带的SMTP引擎发送大量带毒邮件。还通过系统漏洞、弱口令、共享软件、感染文件等多种方式进行传播，是典型的混合型恶性蠕虫病毒。

    具体分析报告如下：

    1、病毒运行后，将复制自身到下列文件：

    %System%hxdef.exe，166 400字节

    %System%iexplore.exe，166 400字节

    %System%kernel66.dll，166 400字节

    %System% real.exe，166 400字节

    %System% tkbellexe.exe，166 400字节

    %System%update_ob.exe，166 400字节

    %WinDir%office.exe，73 728字节

    %WinDir%video.exe，166 400字节

    2、同时释放病毒包含的其他4个模块，分别是：

    %System% iexplorer.exe，86 016字节

    %System%lmmib20.dll，53 248字节

    %System%msjdbc11.dll，53 248字节

    %System%mssign30.dll，53 248 字节

    %System%odbc16.dll，53 248 字节

    %System%temp.uuu，242 184 字节

    %System%winpatch.dll，32 768字节

    3.在硬盘根目录创建自动播放配置程序和病毒自身，这样在打开硬盘时，病毒就会启动

    C：upDate.exe 166400字节

    C：AUTORUN.INF 50字节

    4.在系统服务中添加下列服务

    “_reg”

    “Windows Management Protocol v.0 （experimental）”

    5、搜索局域网的共享资源，在共享文件夹中释放病毒本身或压缩包形式的复制品。

    名字可能如下：

    EnterNet 500 V1.5 RC1.exe

    FoxMail V5.0.500.0.exe

    eMule-0.42e-VeryCD0407Install.exe

    Microsoft Office.exe

    Windows Media Player.zip.exe

    Support Tools.exe

    Minilyrics_Std_2.7.233.pif

    Flash2X Flash Hunter v1.1.2.pif

    Windows 2000 sp4.ZIP.exe

    autoexec.bat

    Daemon Tools v3.41.exe

    Serv-U FTP Server 4.1.exe

    i386.exe

    Winamp skin_FinalFantasy.exe

    WINISO 5.3.exe

    WinGate V5.0.10 Build.exe

    Network Associates Inc.

    6、在注册表中添加多个启动项，如下：

    [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]“Microsoft Inc”=iexplorer.exe

    [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]“Program In Windows”=%Systemr%IEXPLORE.EXE

    [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]“Protected Storage”=RUNDLL32.EXE MSSIGN30.DLL ondll_reg

    [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]“VFW Encoder/Decoder Settings”=RUNDLL32.EXE MSSIGN30.DLL ondll_reg

    [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]“WinHelp”= %System%TkBellExe.exe

    [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionrunServices]“Installed shell32.dll”=Office.exe

    [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionrunServices]“Soft Profile Inc”=%System%hxdef.exe

    [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionrunServices]“SystemTra” =%WinDir%Video.EXE

    7、病毒会感染当前文件夹和desktop文件夹及它们的子文件夹中的文件。感染后文件长度增加240640字节。

    8、共享%WinDir%java文件夹，共享文件夹名是Java.

    9、修改文本文件关联，这样打开文本文件的时候，病毒就会得到运行。

    [HKEY_CLASSES_ROOTtxtfileshellopencommand] "" = update_ob.exe %1

    10、扫描附近的电脑是否存在漏洞和弱口令，一旦发现就试图感染它。
    11.通过遍历Inetpub和Documents and Settings目录及它们的子目录，来搜索email地址，并通过自身携带的smtp引擎向这些email地址发病毒邮件。

    12、通过OutLook直接回复OutLook邮箱中已有的信件，欺骗性较高。

    13、通过将自身复制到KaZaA的共享文件夹，可以通过P2P软件进行传播。共享的文件名是wrar320sc、REALONE、BlackIcePCPSetup_creak、Passware5.3、word_pass_creak、HEROSOFT、orcard_original_creak、rainbowcrack-1.1-win、W32Dasm、setup等，文件的扩展名可能是。exe、。src、。bat、。pif.

    14、可以终止目前国内销售的大部分杀毒软件和防火墙，包括江民、毒霸、瑞星、天网、诺顿、KILL、McAfee等。

    15、将收集的密码等信息保存在C：NetLog.txt中，发送给病毒在作者[email="[email protected]][email protected][/email].

    16、搜索所有的移动硬盘（包括U盘等）和映射驱动器，将其中的。EXE文件的扩展名修改为。~ex，并设置为隐藏和系统属性，然后将病毒自身取代原文件。

    Backdoor/Alexay

    病毒长度：11，264 字节， 28，160 字节， 170，215 字节

    病毒类型：后门

    危害等级：*

    影响平台：Win9X/2000/XP/NT/Me

    Backdoor/Alexay是一个后门木马，感染此木马后黑客可以完全控制计算机，并打开端口2707进行监听。

    传播过程及特征：

    1.生成文件：

    %System%SystemTray.exe

    %System%Sysstart.exe

    2.修改注册表；

    [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices] "SystemTray"="%system%SystemTray.exe"

    3.在进程表中定期搜索下列文件，并终止其运行：

    Filemon.exe

    Regmon.exe

    4.打开端口2707并在此监听黑客命令：

    盗取密码

    发送邮件

    注册表编辑

    上传下载文件

    运行文件

    注：%WinDir%为变量，一般为C：Windows 或 C：Winnt；%System%为变量，一般为C：WindowsSystem （Windows 95/98/Me）， C：WinntSystem32 （Windows NT/2000），或 C：WindowsSystem32 （Windows XP

Tia

值得注意的是……

这个病毒还在继续升级更新，这个版本已经加入了木马的功能，

HOHOHOHO~~木马类病毒难杀干净可是出了名了~~~

大家小心了啊~~

コナソ

病毒米什么，

但这种东东也来搞升级．．．会害死人的｜｜｜

爱恋南

那病毒名字还不错~