查看: 939|回复: 4

大家小心了，一个恶心的蠕虫病毒出现（好像借用了不少木马的能力）

杯户大学生

0 主题	0 好友	43 积分

帖子: 53
精华: 1
积分: 43
威望: 2
ＲＰ: 100
金钱: 100 柯币
人气: 0 ℃
注册时间: 2004-7-28

发消息

电梯直达

顶楼

发表于 2004-8-27 06:01:18 |只看该作者 |倒序浏览

不幸啊~~~偶中招了~~~

开始以为是个木马，最后到网上查了下，原来是个恶意蠕虫~~

很恶心的东西……运行时会自动中止一些防火墙和杀毒软件。

虽然可以让人立刻知道自己中招，但是给清除还是带来了一些麻烦……

以下是江民的警报：

江民今日提醒您注意：在今天的病毒中I-Worm/Supkp.aj和Backdoor/Alexay值得关注。
超级密码杀手I-Worm/Supkp.aj

病毒别名：爱情后门（LoveGate）

病毒类型：混合型蠕虫病毒

病毒大小：可变

传播方式：邮件、局域网共享、感染文件等

危害等级：★★★☆

“超级密码杀手”病毒的最新变种I-Worm/Supkp.aj在被感染计算机上搜索电子邮件地址，通过其自带的SMTP引擎发送大量带毒邮件。还通过系统漏洞、弱口令、共享软件、感染文件等多种方式进行传播，是典型的混合型恶性蠕虫病毒。

具体分析报告如下：

1、病毒运行后，将复制自身到下列文件：

%System%hxdef.exe，166 400字节

%System%iexplore.exe，166 400字节

%System%kernel66.dll，166 400字节

%System% real.exe，166 400字节

%System% tkbellexe.exe，166 400字节

%System%update_ob.exe，166 400字节

%WinDir%office.exe，73 728字节

%WinDir%video.exe，166 400字节

2、同时释放病毒包含的其他4个模块，分别是：

%System% iexplorer.exe，86 016字节

%System%lmmib20.dll，53 248字节

%System%msjdbc11.dll，53 248字节

%System%mssign30.dll，53 248 字节

%System%odbc16.dll，53 248 字节

%System%temp.uuu，242 184 字节

%System%winpatch.dll，32 768字节

3.在硬盘根目录创建自动播放配置程序和病毒自身，这样在打开硬盘时，病毒就会启动

C：upDate.exe 166400字节

C：AUTORUN.INF 50字节

4.在系统服务中添加下列服务

“_reg”

“Windows Management Protocol v.0 （experimental）”

5、搜索局域网的共享资源，在共享文件夹中释放病毒本身或压缩包形式的复制品。

名字可能如下：

EnterNet 500 V1.5 RC1.exe

FoxMail V5.0.500.0.exe

eMule-0.42e-VeryCD0407Install.exe

Microsoft Office.exe

Windows Media Player.zip.exe

Support Tools.exe

Minilyrics_Std_2.7.233.pif

Flash2X Flash Hunter v1.1.2.pif

Windows 2000 sp4.ZIP.exe

autoexec.bat

Daemon Tools v3.41.exe

Serv-U FTP Server 4.1.exe

i386.exe

Winamp skin_FinalFantasy.exe

WINISO 5.3.exe

WinGate V5.0.10 Build.exe

Network Associates Inc.

6、在注册表中添加多个启动项，如下：

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]“Microsoft Inc”=iexplorer.exe

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]“Program In Windows”=%Systemr%IEXPLORE.EXE

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]“Protected Storage”=RUNDLL32.EXE MSSIGN30.DLL ondll_reg

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]“VFW Encoder/Decoder Settings”=RUNDLL32.EXE MSSIGN30.DLL ondll_reg

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]“WinHelp”= %System%TkBellExe.exe

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionrunServices]“Installed shell32.dll”=Office.exe

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionrunServices]“Soft Profile Inc”=%System%hxdef.exe

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionrunServices]“SystemTra” =%WinDir%Video.EXE

7、病毒会感染当前文件夹和desktop文件夹及它们的子文件夹中的文件。感染后文件长度增加240640字节。

8、共享%WinDir%java文件夹，共享文件夹名是Java.

9、修改文本文件关联，这样打开文本文件的时候，病毒就会得到运行。

[HKEY_CLASSES_ROOTtxtfileshellopencommand] "" = update_ob.exe %1

10、扫描附近的电脑是否存在漏洞和弱口令，一旦发现就试图感染它。
11.通过遍历Inetpub和Documents and Settings目录及它们的子目录，来搜索email地址，并通过自身携带的smtp引擎向这些email地址发病毒邮件。

12、通过OutLook直接回复OutLook邮箱中已有的信件，欺骗性较高。

13、通过将自身复制到KaZaA的共享文件夹，可以通过P2P软件进行传播。共享的文件名是wrar320sc、REALONE、BlackIcePCPSetup_creak、Passware5.3、word_pass_creak、HEROSOFT、orcard_original_creak、rainbowcrack-1.1-win、W32Dasm、setup等，文件的扩展名可能是。exe、。src、。bat、。pif.

14、可以终止目前国内销售的大部分杀毒软件和防火墙，包括江民、毒霸、瑞星、天网、诺顿、KILL、McAfee等。

15、将收集的密码等信息保存在C：NetLog.txt中，发送给病毒在作者[email="[email protected]][email protected][/email].

16、搜索所有的移动硬盘（包括U盘等）和映射驱动器，将其中的。EXE文件的扩展名修改为。~ex，并设置为隐藏和系统属性，然后将病毒自身取代原文件。

Backdoor/Alexay

病毒长度：11，264 字节， 28，160 字节， 170，215 字节

病毒类型：后门

危害等级：*

影响平台：Win9X/2000/XP/NT/Me

Backdoor/Alexay是一个后门木马，感染此木马后黑客可以完全控制计算机，并打开端口2707进行监听。

传播过程及特征：

1.生成文件：

%System%SystemTray.exe

%System%Sysstart.exe

2.修改注册表；

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices] "SystemTray"="%system%SystemTray.exe"

3.在进程表中定期搜索下列文件，并终止其运行：

Filemon.exe

Regmon.exe

4.打开端口2707并在此监听黑客命令：

盗取密码

发送邮件

注册表编辑

上传下载文件

运行文件

注：%WinDir%为变量，一般为C：Windows 或 C：Winnt；%System%为变量，一般为C：WindowsSystem （Windows 95/98/Me）， C：WinntSystem32 （Windows NT/2000），或 C：WindowsSystem32 （Windows XP