Wrom.Supnot.127488.h |
|---|
|
| www.iselong.com 作者: |
|
2003年05月12日16:28:53 金山毒霸
病毒名称:Wrom.Supnot.127488.h
病毒类型:蠕虫
病毒长度:127488
危害级别:高
传播速度:高
技术特征:
该病毒是蠕虫“恶邮差”(Worm.Supnot)的最新变种,病毒使用ASPack压缩,病毒改进了在宿主计算机上的存活能力和对杀毒软件的“追杀”能力。
病毒运行后会搜索本地文件目录,通过收件箱中的邮件地址向外发送带毒邮件传播自身,以及根据收件箱里的邮件内容自动回复邮件,每封邮件的附件中均携带病毒副本。
病毒激活后会复制自身到系统目录,文件名可能为Wingate.exe、WinHelp.exe、Winrpc.exe、IEXPORE.EXE、RAVMOND.exe、DRWTSN16.EXEwinrpc.exe。病毒可能还会在系统目录生成111.dll、ily.dll、Task.dll、reg.dll等文件。病毒还会修改注册表中系统启动项,txt文件和exe文件打开的关联等。病毒会以困绑的方式感染EXE文件,将病毒添加到可执行程序的头部。
病毒感染Windows95、98、ME的系统后修改win.ini文件,在其winsows节的run项中添加自身。病毒会试图生成木马文件(如111.dll、ily.dll、Task.dll、reg.dll)到系统目录下,会修改注册表,搜寻网络共享目录,向可写的目录中写入病毒副本。监听端口,允许黑客控制被感染的计算机。
病毒感染是WindowsNT、2000、XP的系统后会复制病毒副本到系统目录,启动病毒主程序为服务,服务名称为“Windows Management Instrumentation Driver Extension”等。遍历本地网络或随机生成IP,并用枚举密码的方式进行IPC$攻击,攻击成功后,得到管理员权限,拷副本到被攻击机算机的系统目录,文件名为Net_Services.exe,并伪装成“Microsoft NetWork FireWall Services” 来启动一个名为“Windows Management Instrumentation Driver Extension”的服务。
该病毒定时会向一个163的信箱发送邮件,邮件内容为被感染PC的IP地址。
病毒激活后会利用HOOK函数盗取用户的密码。
病毒会开一个进程用于监视病毒主程序,如果病毒主程序被中止,会立即重新装载主程序。
病毒会中止一些知名杀毒软件的病毒防火墙和杀毒程序,如:金山毒霸、瑞星、诺顿、天网、Kill等。并且改进的方式更加恶毒,只要程序的进程名中包含"KV"、"KAV"、"Duba"、"NAV"、"kill"、"RavMon.exe"、"Rfw.exe"、"Gate"、"McAfee"、
"Symantec"、"SkyNet"、"rising"就会被病毒中止。
|
