I-Worm/Supkp.s

I-Worm/Supkp.s

病毒长度：128,000 bytes

病毒类型：网络蠕虫

危害等级：**

影响平台：Win9X/2000/XP/NT/Me

I-Worm/Supkp.s是用C++编写并用JDPack和ASPack压缩过的群发邮件蠕虫，企图发送自身到在从感染计算机上找到的所有邮件地址。利用DCOM RPC 漏洞进行传播。邮件的发件人地址是伪造的，主题和邮件正文都是变化的。

传播过程及特征:

1.复制自身为：

%Windir%Systra.exe

%System%Hxdef.exe

%System%iexplore.exe

%System%RAVMOND.exe

%System%Kernel66.dll -- 属性为隐藏、只读、系统文件。

%System%WinHelp.exe

生成文件（蠕虫的后门组件）：

%System%ODBC16.dll -- 53,760 bytes

%System%Msjdbc11.dll -- 53,760 bytes

%System%MSSIGN30.DLL -- 53,760 bytes

%System%LMMIB20.DLL -- 53,760 bytes

生成文件：

%System%NetMeeting.exe -- 61,440 bytes

%System%spollsv.exe -- 61,440 bytes

在蠕虫执行的文件夹下可能生成下列文件：

a

results.txt

win2k.txt

winxp.txt

2.修改注册表：

添加下列键值：

"Hardware Profile"="%System%hxdef.exe

"Microsoft NetMeeting Associates, Inc."="NetMeeting.exe"

"Program in Windows"="%System%IEXPLORE.EXE"

"Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"

"Shell Extension"="%System%spollsv.exe"

"VFW Encoder/Decoder Settings"="RUNDLL32.exe MSSIGN30.DLL ondll_reg"

"WinHelp"="%System%WinHelp.exe"到HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun；

添加键值："SystemTra"="%Windir%Systra.exe"到HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices；

添加键值："run"="RAVMOND.exe"到HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows；

可能生成子键：HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionMXLIB1。

3.终止下列服务：

Rising Realtime Monitor Service

Symantec Antivirus Server

Symantec Client

创建服务：

"Windows Management Protocol v.0 (experimental)" -- 映射到"Rundll32.exe msjdbc11.dll ondll_server"。

"_reg" -- 映射到"Rundll32.exe msjdbc11.dll ondll_server"。

4.结束包含下列字符串的所有进程：

KV KAV Duba NAV kill RavMon.exe Rfw.exe

Gate McAfee Symantec SkyNet rising

5.在端口6000运行后门程序，此程序用来盗取系统信息并将其保存到C:Netlog.txt，然后蠕虫将盗取的信息发送给黑客。

6.复制自身到所有的网络共享文件夹及其子文件夹下。

7.扫描网络内的所有计算机，企图用内置密码库里的密码获取管理员登陆权限。一旦成功登陆到远程计算机，蠕虫便复制自身为

\<计算机名>admin$\%System%NetManager.exe 并将此文件作为"Windows Management NetWork Service Extensions"服务开始运行。

8.病毒会在Explorer.exe或Taskmgr.exe里注入一线程，用来探测蠕虫是否运行，如果没有运行或已经被删除，那么它会尝试进行复制并运行。

9.在任意一个端口开始运行FTP服务，不需任何验证，这样便意味着任何人都可以访问感染病毒的计算机。

10.在安装目录下创建一个共享："%Windir%Media"。

11.在除A和B的所有驱动器的根目录下生成一个压缩包文件，结构为： <filename>.<RAR/ZIP>

<filename>为下列之一：

WORK 、setup 、Important 、bak 、letter 、pass

此文件包含了一个蠕虫副本文件，结构为 <filename>.<exe/com/pif/scr>

<filename>下列之一：

WORK 、setup 、Important 、book 、email 、PassWord

12.在除光驱外的所有驱动器的根目录下生成文件Autorun.inf，并在此复制自身为Command.com，导致你一双击驱动器图标蠕虫便开始运行的后果。

13.扫描所有的驱动器里的所有.exe文件蠕虫将之扩展名改为.zmx，并设此文件属性设为隐藏和系统文件，然后以此文件的原始文件名复制自身。

14.进入 MAPI-compliant 邮件客户端（包括：Microsoft Outlook）邮箱后会回复收件箱中的所有邮件。

15.从硬盘驱动器和只读驱动器下的下列类型文件中搜索邮件地址：.txt .htm .sht .php .asp .dbx .tbb .adb .pl

.wab；

扫描系统WAB文件，临时文件夹和硬盘，用以发现合法的邮件地址。利用自带的SMTP引擎发送自身到找到的邮件地址，邮件特征：

发件人：随机

主题：下列之一

test

hi

hello

Mail Delivery System

Mail Transaction Failed

Server Report

Status

Error

附件：扩展名为.exe /.scr /.pif /.cmd /.bat /.zip /.rar等的文件