|
...欢迎光临firelong在线,正在建设...
|
| |
| 当前位置:资料室>安全>病毒分析>爱情后门一系列变种> |
|
爱情后门一系列变种(I-Worm.Supnot.*)分析报告 07/15
|
|
作者: 北信源咨讯 来自:北信源 时间:2004-7-15
|
|
病毒名 称: Worm.Supnot.*(AC、AG等)
中文名称: 爱情后门
病毒类型: 蠕虫病毒
受影响系统:WIN98/ME/WinNT/Win2K/WinXP/Win2003
破坏方式:
病毒利用邮件、DCOM RPC漏洞、局域网进 行疯狂传播,导致网络瘫痪等现象,开后门,等待黑客连接,造成泄 密等损失,该变种病毒采用捆绑式感染系统中的EXE文件,损坏系统, 将自身伪装成流行软件的新版本或者新软件的破解补丁等,诱使用户双 击运,利用QQ散布带网址信息的消息,诱使用户下载 病毒。
发作条件:
运行后会通过邮 件传播,将自己作为邮件的附件.也会通过拷贝自身到网络共享可写目 录传播.另外
它还会对局域网的机器进行弱密码攻击,成功 后也会拷贝自身到被攻击机器并执行。
A、病毒运行后会将自 身复制到系统目录下:
%SystemRoot%\SYSTRA.EXE
%System%\hxdef.exe
%System%\IEXPLORE.EXE
%System%\RAVMOND.exe
%System%\realsched.exe
%System%\vptray.exe
%System%\kernel66.dll
在系统 安装目录中生成
%System%\ODBC16.dll
%System%\msjdbc11.dll
%System%\MSSIGN30.DLL
%System%\LMMIB20.DLL
%System%\NetMeeting.exe
%System%\spollsv.exe
%system%\internet.exe
%System%\svch0st.exe
在每个盘符下生成如下两个文件
AUTORUN.INF
COMMAND.EXE
使用户一双击盘符即会中毒
B、修改注册表主键:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersio n\Run
下添加如下键值:
"WinHelp"="%SYSTEM%"\realsched.exe&quo t;
"Hardware Profile" ="%SYSTEM%"\hxdef.exe"
"Mircorsoft NetMeeting Associates, Inc."="NetMeeting.exe"
"Program In Windows"="%system%\IEXPLORE.EXE"
"VFW Encoder/Decoder Settings"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
"Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
"Shell Extension"="%system%\spollsv.exe"
"Network Associates, Inc."="internet.exe"
"S0undMan"="svch0st.exe"
在注册表 主键
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersi on\runServices
下添加如下键值:
"SystemTra"="%Windor%\SysTra.EXE"
对于win98/me系统 会对%system%\win.ini文件内添加如下内 容:
run=%System%\RAVMOND.exe
C、会创建一个名为 "Windows Management Protocol v.0 (experimental)" 和"_reg"的两个服务,服务对应的病毒文件为msjdbc11.d ll 和ondll_server。
D、随机开启一个端口,作为后门。
E、收集系统信息,存为C:\NETLOG.TXT,每行均以NETDI做为开 头
F、复制自身到所有共享目录中,文件名可能是以下之 一:
WinRAR.exe
Internet Explorer.bat
Documents and Settings.txt.exe
Microsoft Office.exe
Windows Media Player.zip.exe
Support Tools.exe
WindowsUpdate.pif
Cain.pif
MSDN.ZIP.pif
autoexec.bat
findpass.exe
client.exe
i386.exe
winhlp32.exe
xcopy.exe
mmc.exe
G、会释放一个名为suchost.exe文件用于将病毒体和EXE文件进 行捆绑。互斥量为:I090909!
解决方法:
下载爱情后门专杀工具:http://www .vrv.com.cn/tools/killsupnot.com
连续多次查杀,查杀 后请打安 全补丁
 |
|
|
|
|
|
|