I-Worm/Supkp.ah

I-Worm/Supkp.ah

病毒长度：50,688 字节, 压缩包大约为 50,800-51,000 字节

病毒类型：网络蠕虫

危害等级：**

影响平台：Win9X/2000/XP/NT/Me

I-Worm/Supkp.ah是用C++编写并经UPX压缩的网络蠕虫，此蠕虫经过加密，群发邮件进行传播，此外还具有记录键击的能力。

传播过程及特征：

1.在临时文件夹生成文件Message，打开默认程序为记事本。

在系统目录下生成三个随机文件名的.dll文件。

2.复制自身：

%System%taskmon.exe

3.修改注册表：

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]

"Taskmon" = "%System%askmon.exe "

4.试图复制自身到Kazaa下载文件夹进行传播，文件名为：

icq2004-final

activation_crack

strip-girl-2.0bdcom_patches

rootkitXP

office_crack

nuke2004

winamp5

扩展名为.exe/ .scr/ .pif/ .cmd/ .bat/ .com/ .zip

5.生成一个随机文件名的.dll文件用于激活记录键击程序，周期性的发送键击记录文件给黑客。

6.终止大部分的反病毒以及安全软件的运行。

7.在.adb .asp .dbx .htm .php .pl .sht .tbb .txt .wab等类型文件中搜索合法的邮件地址，并用自带的SMTP引擎发送邮件，邮件特征：

发件人：伪造地址

主题：空白或下列之一

test

hi

hello

Mail Delivery System

Mail Transaction Failed

Server Report

Status

Error

附件：附件名为下列之一

body

data

doc

document

file

message

readme

test

text

扩展名为：.exe .scr .pif .cmd .bat .com .zip