I-Worm/Supkp.m

I-Worm/Supkp.m

病毒长度：98,304 bytes

病毒类型：网络蠕虫

危害级别：**

影响平台：Win2000/XP/NT/2003

I-Worm/Supkp.m是用C++编写并用ASPack压缩过的群发邮件蠕虫，试图回复Outlook收件箱里的所有邮件。此外蠕虫还通过KaZaA网络资源共享软件传播，复制自身到Kazaa文件夹下。

病毒传播过程及特征：

1.在系统目录下复制自身为iexplore.exe ，Media32.exe ，RAVMOND.exe ，WinHelp.exe ，Kernel66.dll；在安装目录下复制自身为Systra.exe 。

2.搜索除CD-ROM以外的所有驱动器下的根目录文件夹，在此蠕虫复制自身为COMMAND.EXE，并生成AUTORUN.INF。

3.在所有驱动器（除A和B）的根目录文件夹下生成结构为 <A>.<rar/zip>的压缩文件。

<A>为下列之一：WORK setup Important bak letter pass

在这个压缩文件里包含了一个蠕虫副本文件，结构为：<B>.<ext>

<B>下列之一：WORK setup Important book email PassWord

<ext>下列之一：exe com pif scr

4.在系统目录下生成文件：ODBC16.dll，msjdbc11.dll， MSSIGN30.DLL

5.修改注册表：

修改HKEY_CLASSES_ROOTexefileshellopencommand的值改为%System%Media32.exe

"%1" %*HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加

"Program in Windows"="%system%iexplore.exe"和"VFW Encoder/Decoder

Settings"="RUNDLL32.exe MSSIGN30.DLL ondll_reg"和

"WinHelp"="%system%WinHelp.exe"键值

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows

CurrentVersionRunServices下添加"Systemtra"=

"%Windir%Systra.exe"键值

HKEY_CURRENT_USERSoftwareMicrosoft

Windows NTCurrentVersionWindows下添加"run"=

"RAVMOND.exe"键值生成HKEY_LOCAL_MACHINESoftwareMicrosoft

WindowsCurrentVersionMXLIB1子键

6.蠕虫拷贝自身到KaZaA的文件夹下,扩展名为.bat.exe.pif.scr.

7.复制自身到所有网络共享文件夹及其子文件，此外搜索所有驱动器，尝试将扩展名为.exe的文件改为.zmx，并用原文件名复制蠕虫文件，设置其为隐藏文件、系统文件。

8.创建"Windows Management Protocol v.0 (experimental)" 服务

9.终止一些反病毒软件进程

10.设安装目录下的Media共享。

11.在端口6000运行后门程序，用来盗取安全意识薄弱的系统信息和存储在C:Netlog.txt文件里的信息并发送到特定的地址。

12.扫描本地网络的所有计算机，用自带的密码库进行破解，企图得到系统管理员权限。一旦成功，便拷贝自身到其系统目录下文件名为NetManager32.exe，并作为"Management Service Extension"服务运行。

13.在Explorer.exe或Taskmgr.exe中注入一个进程监视程序，一旦发现蠕虫被终止就运行%System32%Iexplore.exe

14.进入 MAPI-compliant 邮件客户端（包括：Microsoft Outlook）邮箱后会回复收件箱中的所有邮件。邮件的发件人是伪造的，主题、正文都是可变的,附件是扩展名为 .exe, .pif, 或 .scr的文件。