“五毒虫”变种AH(Worm.Supnot.ah)

病毒信息：

病毒名称: Worm.Supnot.ah

中文名称: 五毒虫

威胁级别: 3B

病毒类型: 邮件蠕虫、漏洞蠕虫、黑客、后门

病毒类型: 木马

受影响系统:Win9x/WinNT/Win2K/WinXP/Win2003

破坏方式：

A、病毒利用邮件、DCOM RPC漏洞、局域网进行疯狂传播，导致网络瘫痪等现象

B、开后门，等待黑客连接，造成泄密等损失

C、采用捆绑式感染系统中的EXE文件，损坏系统

发作现象：

A、如果杀毒软件进程存在，则中止以下进程：

KV

KAV

Duba

NAV

kill

RavMon.exe

Rfw.exe

Gate

McAfee

Symantec

SkyNet

Rising

B、如果杀毒软件服务存在，则中止以下服务：

Symantec AntiVirus Client

Symantec AntiVirus Server

Rising Realtime Monitor Service

C、对网络上的计算机的管理员密码，进行弱密码攻击，如果攻击成功的话，则病毒感染这台机器。

D、搜索邮件列表，并试图发电子邮件，电子邮件的附件一般名为：

the hardcore game-.pif

Sex in Office.rm.scr

Deutsch BloodPatch!.exe

s3msong.MP3.pif

Me_nude.AVI.pif

How to Crack all gamez.exe

Macromedia Flash.scr

SETUP.EXE

Shakira.zip.exe

dreamweaver MX (crack).exe

StarWars2 - CloneAttack.rm.scr

Industry Giant II.exe

DSL Modem Uncapper.rar.exe

joke.pif

Britney spears nude.exe.txt.exe

I am For u.doc.exe

E、在所有目录中搜索后缀名为如下的的文件

.txt, .pl, .wab, .adb, .tbb, .dbx, .asp, .php, .sht, and .htm

从中找到邮件地址，并用自己的邮件系统发送邮件

技术特点：

A、病毒运行后会在系统目录生成如下文件：

%SystemDrive%cdrom.com

%SystemRoot%CDPlay.exe

%Windir%Exploier.exe

%System%IEXPLORE.exe

%System%RAVMOND.exe

%System%Update_OB.exe

%System%TkBellExe.exe

%System%hxdef.exe

%System%Kernel66.dll

%System%ODBC16.dll

%System%msjdbc11.dll

%System%MSSIGN30.DLL

%System%LMMIB20.DLL

%System%iexplorer.exe

B、在每个盘符下生成如下两个文件

AUTORUN.INF

CDROM.COM

使用户一双击盘符即会中毒

C、向注册表添加

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

"Hardware Profile"="%system%hxdef.exe"

"Microsoft Associates, Inc."="%system%iexplorer.exe"

"Program in Windows"="%system%IEXPLORE.exe"

"Protected Storage"="rundll32.exe mssign30.dll ondll_reg"

"Shell Extension"="%system%spollsv.exe"

"VFW Encoder/Decoder Settings"="rundll32.exe mssign30.dll ondll_reg"

"WinHelp"="%system%TkBellExe.exe"

"Shell Extension"="%system%spollsv.exe"

向注册表添加

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices

"SystemTra"="%Windor%CDPlay.EXE"

"COM++ System"="exploier.exe"

修改注册表

HKEY_CLASSES_ROOTxtfileshellopencommand

HKEY_LOCAL_MACHINESoftwareClassesxtfileshellopencommand

"默认"="vptray.exe %1"

向注册表添加

HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows

"run"="RAVMOND.exe"

D、会创建一个名为 "Windows Management Protocol v.0 (experimental)"和"_reg"的两个服务，服务对应的病毒文件为msjdbc11.dll 和ondll_server。

E、随机开启一个端口，作为后门。

F、收集系统信息，存为C:NETLOG.TXT，每行均以NETDI做为开头，并将在局域网中的密码信息保存到该文件中。

G、复制自身到所有共享目录中，文件名可能是以下之一：

WinRAR.exe

Internet Explorer.bat

Documents and Settings.txt.exe

Microsoft Office.exe

Windows Media Player.zip.exe

Support Tools.exe

WindowsUpdate.pif

Cain.pif

MSDN.ZIP.pif

autoexec.bat

findpass.exe

client.exe

i386.exe

winhlp32.exe

xcopy.exe

mmc.exe

H、会释放一个名为Exploier.exe文件用于将病毒体和EXE文件进行捆绑。互斥量为：my_10101!

I、搜索c-z的硬盘,如果发现可移动设备或网络映射，则在此设备中搜索扩展名为exe的文件,将原文件扩展名改为~ex,同时将病毒自身拷贝到此并和原文件同名。

解决方案:

A、 请使用金山毒霸2004年7月14日的病毒库可完全处理该病毒。

B、查杀完病毒后，请注意打上最新的系统补丁，特别是冲击波、震荡波的补丁

C、修改弱密码，强烈建议致少使用4个字母和4个数字的组合密码

D、养成良好习惯，不轻易打开即时通讯工具传来的网址，不打有附件的邮件

E、打开金山网镖和金山毒霸病毒防火墙，防止病毒进入系统。