Worm/Supkp.w

I-Worm/Supkp.w

病毒长度：128,000 字节

病毒类型：网络蠕虫

危害等级：**

影响平台：Win9X/2000/XP/NT/Me

I-Worm/Supkp.w是用C++编写并用JDPack和ASPack压缩过的群发邮件蠕虫，企图发送自身到在从感染计算机上找到的所有邮件地址。利用DCOM RPC 漏洞TCP端口135进行传播。邮件的发件人地址是伪造的，主题和邮件正文都是变化的。

传播过程及特征:

1.复制自身为：

%Windir%Systra.exe

%System%Hxdef.exe

%System%iexplore.exe

%System%RAVMOND.exe

%System%Kernel66.dll -- 属性为隐藏、只读、系统文件。

%System%WinHelp.exe

生成文件（蠕虫的后门组件）：

%System%ODBC16.dll -- 53,760 bytes

%System%Msjdbc11.dll -- 53,760 bytes

%System%MSSIGN30.DLL -- 53,760 bytes

%System%LMMIB20.DLL -- 53,760 bytes

生成文件：

%System%NetMeeting.exe -- 61,440 bytes

NetMeeting.exe文件运行有如下操作：

/复制自身为%System%spollsv.exe

/修改注册表：

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

"Shell Extension" = "%system%spollsv.exe"

/试图在有DCOM RPC漏洞的机器的系统目录下创建文件a，a为一个FTP脚本文件用于获取感染系统里的hxdef.exe.

/可能在系统目录下生成文件：results.txt ，win2k.txt ，winxp.txt

2.修改注册表：

添加键值

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]

"Hardware Profile"="%System%hxdef.exe

"Microsoft NetMeeting Associates, Inc."="NetMeeting.exe"

"Program in Windows"="%System%IEXPLORE.EXE"

"Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"

"Shell Extension"="%System%spollsv.exe"

"VFW Encoder/Decoder Settings"="RUNDLL32.exe MSSIGN30.DLL ondll_reg"

"WinHelp"="%System%WinHelp.exe"

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices]

"SystemTra"="%Windir%Systra.exe"

[HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows]

"run"="RAVMOND.exe"

生成子键：

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionMXLIB1]

3.终止下列服务：

Rising Realtime Monitor Service

Symantec Antivirus Server

Symantec Client

创建服务：

"Windows Management Protocol v.0 (experimental)" -- 映射到"Rundll32.exe msjdbc11.dll ondll_server"。

"_reg" -- 映射到"Rundll32.exe msjdbc11.dll ondll_server"。

4.结束包含下列字符串的进程(涵括了江民、毒霸、瑞星、天网、诺顿、KILL、McAfee等杀毒及防火墙软件)：

KV KAV Duba NAV kill RavMon.exe Rfw.exe Gate McAfee Symantec SkyNet rising

5.在端口6000运行后门程序，此程序用来盗取系统信息并将其保存到C:Netlog.txt，然后蠕虫将盗取的信息发送给黑客。

6.复制自身到所有的网络共享文件夹及其子文件夹下，文件名如下：

WinRAR.exe

Internet Explorer.bat

Documents and Settings.txt.exe

Microsoft Office.exe

Windows Media Player.zip.exe

Support Tools.exe

WindowsUpdate.pif

Cain.pif

MSDN.ZIP.pif

autoexec.bat

findpass.exe

client.exe

i386.exe

winhlp32.exe

xcopy.exe

mmc.exe

7.扫描网络内的所有计算机，企图用内置密码库里的密码获取管理员登陆权限。一旦成功登陆到远程计算机，蠕虫便复制自身为

\<计算机名>admin$\%System%NetManager.exe 并将此文件作为"Windows Management NetWork Service Extensions"服务开始运行。

8.病毒会在Explorer.exe或Taskmgr.exe里注入一线程，用来探测蠕虫是否运行，如果没有运行或已经被删除，那么它会尝试进行复制并运行。

9.在任意一个端口开始运行FTP服务，不需任何验证，这样便意味着任何人都可以访问感染病毒的计算机。

10.创建网络共享目录："%Windir%Media"。

11.在除A和B的所有驱动器的根目录下生成一个压缩包文件，结构为： .

为下列之一：

WORK

setup

Important

bak

letter

pass

此文件包含了一个蠕虫副本文件，结构为 .

下列之一：

WORK

setup

Important

book

email

PassWord

12.在除光驱外的所有驱动器的根目录下生成文件Autorun.inf，并在此复制自身为Command.com，导致你一双击驱动器图标蠕虫便开始运行的后果。

13.扫描所有的驱动器里的所有.exe文件蠕虫将之扩展名改为.zmx，并设此文件属性设为隐藏和系统文件，然后以此文件的原始文件名复制自身。

14.进入 MAPI-compliant 邮件客户端（包括：Microsoft Outlook）邮箱后会回复收件箱中的所有邮件。

15.从硬盘驱动器和只读驱动器下的下列类型文件中搜索邮件地址：.txt .htm .sht .php .asp .dbx .tbb .adb .pl .wab；

扫描系统WAB文件，临时文件夹和硬盘，用以发现合法的邮件地址。

利用自带的SMTP引擎发送自身到找到的邮件地址，邮件特征：

发件人：随机

主题：下列之一

test

hi

hello

Mail Delivery System

Mail Transaction Failed

Server Report

Status

Error

邮件正文：可能是下列之一

It's the long-awaited film version of the Broadway hit. The message sent as a binary attachment.

The message contains Unicode characters and has been sent as a binary attachment.

Mail failed. For further assistance, please contact!

附件：扩展名为.exe /.scr /.pif /.cmd /.bat /.zip /.rar等的文件

注：%Windir%为变量，一般为C:Windows 或 C:Winnt；

%System%为变量，一般为C:WindowsSystem (Windows 95/98/Me), C:WinntSystem32 (Windows NT/2000),

或 C:WindowsSystem32 (Windows XP)。

• ·I-Worm/BBEagle.ab
• ·魂断巴黎
• ·TrojanSpy.Qukart.d
• ·TrojanProxy.Jubon.b
• ·华硕P5LD2
• ·Exploit.CodeBaseExec.b
• ·123木头人
• ·TFLOPS
• ·TrojanClicker.Qhost.a
• ·魏宗万