“五毒虫”变种AD(Worm.Supnot.ad)

病毒信息：

病毒名称: Worm.Supnot.ad

中文名称: 五毒虫

威胁级别: 3B

病毒类型: 邮件蠕虫、漏洞蠕虫、黑客、后门

病毒类型: 木马

受影响系统:Win9x, Windows 2000, Windows XP, Windows 2003

破坏方式：

A、病毒利用邮件、DCOM RPC漏洞、局域网进行疯狂传播，导致网络瘫痪等现象

B、开后门，等待黑客连接，造成泄密等损失

C、采用捆绑式感染系统中的EXE文件，损坏系统

发作现象：

A、如果杀毒软件进程存在，则中止以下进程：

KV

KAV

Duba

NAV

kill

RavMon.exe

Rfw.exe

Gate

McAfee

Symantec

SkyNet

rising

B、对网络上的计算机的管理员密码，进行弱密码攻击，如果攻击成功的话，则病毒感染这台机器。

C、搜索邮件列表，并试图发电子邮件，电子邮件的附件一般名为：

the hardcore game-.pif

Sex in Office.rm.scr

Deutsch BloodPatch!.exe

s3msong.MP3.pif

Me_nude.AVI.pif

How to Crack all gamez.exe

Macromedia Flash.scr

SETUP.EXE

Shakira.zip.exe

dreamweaver MX (crack).exe

StarWars2 - CloneAttack.rm.scr

Industry Giant II.exe

DSL Modem Uncapper.rar.exe

joke.pif

Britney spears nude.exe.txt.exe

I am For u.doc.exe

D、在所有目录中搜索后缀名为如下的的文件

.htm .sht .php .asp .dbx .tbb .adb .wab

从中找到邮件地址，并用自己的邮件系统发送邮件

技术特点：

A、病毒运行后会将自身复制到系统目录下：

%SystemRoot%SYSTRA.EXE

%System%hxdef.exe

%System%IEXPLORE.EXE

%System%RAVMOND.exe

%System%

ealsched.exe

%System%vptray.exe

%System%kernel66.dll

在系统安装目录中生成

%System%ODBC16.dll

%System%msjdbc11.dll

%System%MSSIGN30.DLL

%System%LMMIB20.DLL

%System%NetMeeting.exe

%Windir%suchost.exe

%System%spollsv.exe

在每个盘符下生成如下两个文件

AUTORUN.INF

COMMAND.EXE

使用户一双击盘符即会中毒

B、在注册表主键：

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun

下添加如下键值：

"WinHelp"="%SYSTEM%"

ealsched.exe"

"Hardware Profile" ="%SYSTEM%"hxdef.exe"

"Mircorsoft NetMeeting Associates, Inc."="NetMeeting.exe"

"Program In Windows"="%system%IEXPLORE.EXE"

"VFW Encoder/Decoder Settings"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"

"Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"

"Shell Extension"="%system%spollsv.exe"

对注册表主键：

HKEY_LOCAL_MACHINESOFTWAREClassesxtfileshellopencommand

修改如下键值

"默认"="vptray.exe %1"

在注册表主键

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

unServices

下添加如下键值：

"SystemTra"="%Windor%SysTra.EXE"

"COM++ System"="suchost.exe"

对于win98/me系统 会对%system%win.ini文件内添加如下内容：

run=%System%RAVMOND.exe

C、会创建一个名为 "Windows Management Protocol v.0 (experimental)"和"_reg"的两个服务，服务对应的病毒文件为msjdbc11.dll 和ondll_server。

D、随机开启一个端口，作为后门。

E、收集系统信息，存为C:NETLOG.TXT，每行均以NETDI做为开头

F、复制自身到所有共享目录中，文件名可能是以下之一：

WinRAR.exe

Internet Explorer.bat

Documents and Settings.txt.exe

Microsoft Office.exe

Windows Media Player.zip.exe

Support Tools.exe

WindowsUpdate.pif

Cain.pif

MSDN.ZIP.pif

autoexec.bat

findpass.exe

client.exe

i386.exe

winhlp32.exe

xcopy.exe

mmc.exe

G、会释放一个名为suchost.exe文件用于将病毒体和EXE文件进行捆绑。互斥量为：I090909!

解决方案:

A、 请使用金山毒霸2004年7月14日的病毒库可完全处理该病毒。

B、查杀完病毒后，请注意打上最新的系统补丁，特别是冲击波、震荡波的补丁

C、修改弱密码，强烈建议致少使用4个字母和4个数字的组合密码

D、养成良好习惯，不轻易打开即时通讯工具传来的网址，不打有附件的邮件

E、打开金山网镖和金山毒霸病毒防火墙，防止病毒进入系统。