I-Worm/Supkp.ah
I-Worm/Supkp.ah
病毒长度:50,688 字节, 压缩包大约为 50,800-51,000 字节
病毒类型:网络蠕虫
危害等级:**
影响平台:Win9X/2000/XP/NT/Me
I-Worm/Supkp.ah是用C++编写并经UPX压缩的网络蠕虫,此蠕虫经过加密,群发邮件进行传播,此外还具有记录键击的能力。
传播过程及特征:
1.在临时文件夹生成文件Message,打开默认程序为记事本。
在系统目录下生成三个随机文件名的.dll文件。
2.复制自身:
%System%taskmon.exe
3.修改注册表:
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
"Taskmon" = "%System%askmon.exe "
4.试图复制自身到Kazaa下载文件夹进行传播,文件名为:
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004
winamp5
扩展名为.exe/ .scr/ .pif/ .cmd/ .bat/ .com/ .zip
5.生成一个随机文件名的.dll文件用于激活记录键击程序,周期性的发送键击记录文件给黑客。
6.终止大部分的反病毒以及安全软件的运行。
7.在.adb .asp .dbx .htm .php .pl .sht .tbb .txt .wab等类型文件中搜索合法的邮件地址,并用自带的SMTP引擎发送邮件,邮件特征:
发件人:伪造地址
主题:空白或下列之一
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
附件:附件名为下列之一
body
data
doc
document
file
message
readme
test
text
扩展名为:.exe .scr .pif .cmd .bat .com .zip