I-Worm/Supkp.z简介_I-Worm/Supkp.z个人资料_I-Worm/Supkp.z微博_百科网
A-A+

I-Worm/Supkp.z简介_I-Worm/Supkp.z个人资料_I-Worm/Supkp.z微博

2018-03-14 01:05:11 自然百科 阅读 4 次

 

病毒名称/I-Worm/Supkp.z 编辑

I-Worm/Supkp.z

病毒别名/I-Worm/Supkp.z 编辑

爱情后门(LoveGate)

 

介绍/I-Worm/Supkp.z 编辑

病毒类型:混合型蠕虫病毒
病毒大小:153600字节,53248字节,61440字节,57344字节
传播方式:邮件、局域网共享、感染文件等
危害等级:★★★☆

 

描述/I-Worm/Supkp.z 编辑

1、病毒运行后,将复制自身到下列文件:
 %System%tkbellexe.exe, 153600字节
 %System%update_ob.exe, 153600字节
  %System%ravmond.exe, 153600字节
  %System%iexplore.exe, 153600字节
  %System%kernel66.dll, 153600字节
  %System%hxdef.exe, 153600字节
  %WinDir%cdplay.exe, 153600字节
2、同时释放病毒包含的其他3个模块,分别是:
  %System%odbc16.dll, 53248字节
  %Systemr%msjdbc11.dll, 53248字节
  %System%mssign30.dll, 53248字节
  %System%lmmib20.dll, 53248字节
  %System%iexplorer.exe, 61440字节
  %System%spollsv.exe, 61440字节
  %WinDir%exploier.exe, 57344字节
3、在硬盘根目录创建自动播放配置程序和病毒自身,这样在打开硬盘时,病毒就会启动
 c:cdrom.com, 153600字节
  c:autorun.inf, 49字节
  d:cdrom.com, 153600字节
  d:autorun.inf, 49字节
  …...
4、在本地创建一个FTP服务程序,端口号是随机数,如7818,可以通过让病毒通过漏洞传播。其中生成%SystemDir%a大小约为56字节,是FTP的脚本。通过FTP服务,可以传播hxdef.exe(病毒自身)到包含漏洞的电脑上。
5、搜索局域网的共享资源,在共享文件夹中释放病毒本身或压缩包形式的复制品。
6、在注册表中添加多个启动项,如下:
  【HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun】
  "WinHelp" = %System%tkbellexe.exe
  【HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun】
  "Hardware Profile" = %System%hxdef.exe
  【HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun】
  "VFW Encoder/Decoder Settings" = rundll32.exe mssign30.dll  ondll_reg
  【HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun】
  "Microsoft  Associates, Inc." = iexplorer.exe
  【HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun】
  "Program In Windows" = %System%iexplore.exe
  【HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun】
  "Shell Extension" = %System%spollsv.exe
  【HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun】
  "Protected Storage" = rundll32.exe mssign30.dll  ondll_reg
  【HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionrunServices】
  "SystemTra" = %WinDir%cdplay.exe
  【HKEY_CURRENT_USERSOFTWAREMicrosoftWindows NTCurrentVersionWindows】
  "run" = ravmond.exe
7、病毒会感染当前文件夹中的文件。感染后文件长度增加210952字节。
8、共享%WinDir%Media文件夹,共享文件夹名是Media。
9、修改文本文件关联,这样打开文件文件的时候,病毒就会得到运行。
  【HKEY_CLASSES_ROOTtxtfileshellopencommand】
  "" = update_ob.exe %1
10、在病毒运行的文件夹中,会生成临时文件results.txt和win2k.txt(或winxp.txt)。
11、扫描附近的电脑是否存在漏洞和弱口令,一旦发现就试图感染它。弱口令表如下:
  Guest
  Administrator
  zxcv
  yxcv
  xxx
  xp
  win
  test123
  test
  temp123
  temp
  sybase
  super
  sex
  secret
  pwd
  pw123
  pw
  pc
  Password
  owner
  oracle
  mypc123
  mypc
  mypass123
  mypass
  love
  login
  Login
  Internet
  home
  godblessyou
  god
  enable
  database
  computer
  alpha
  admin123
  Admin
  abcd
  aaa  
  a
  88888888
  2600
  2004
  2003
  123asd
  123abc
  123456789
  1234567
  123123
  121212
  12
  11111111
  110
  007
  00000000
  000000
  0
  pass
  54321
  12345
  password
  passwd
  server
  sql
  !@#$%^&*
  !@#$%^&
  !@#$%^
  !@#$%
  asdfgh
  asdf
  !@#$
  1234
  111
  1
  root
  abc123
  12345678
  abcdefg
  abcdef
  abc
  888888
  666666
  111111
  admin
  administrator
  guest
  654321
  123456
  321
  123
12、可以通过OutLook和自身内置的SMTP程序发送带毒邮件。通过OutLook发送的邮件是直接回复邮箱中已有的信件,欺骗性较高。通过自带的SMTP程序发现邮件的附件名可能是:
  the hardcore game-.pif
  Sex in Office.rm.scr
  Deutsch BloodPatch!.exe
  s3msong.MP3.pif
  Me_nude.AVI.pif
  How to Crack all gamez.exe
  Macromedia Flash.scr
  SETUP.EXE
  Shakira.zip.exe
  dreamweaver MX (crack).exe
  StarWars2 - CloneAttack.rm.scr
  Industry Giant II.exe
  DSL Modem Uncapper.rar.exe
  joke.pif
  Britney spears nude.exe.txt.exe
  I am For u.doc.exe
13、通过将自身复制到KaZaA的共享文件夹,可以通过P2P软件进行传播。共享的文件名是wrar320sc、REALONE、BlackIcePCPSetup_creak、Passware5.3、word_pass_creak、Herosoft、orcard_original_creak、rainbowcrack-1.1-win、W32Dasm、setup等,文件的扩展名可能是.exe、.src、.bat、.pif。
14、可以终止目前国内销售的大部分杀毒软件和防火墙,包括江民、毒霸、瑞星、天网、诺顿、KILL、McAfee等。
15、将收集的密码等信息保存在C:NetLog.txt中,发送给病毒在作者hello_zyx@163.com。
16、搜索所有的移动硬盘(包括U盘等)和映射驱动器,将其中的.EXE文件的扩展名修改为.~ex,并设置为隐藏和系统属性,然后将病毒自身取代原文件。

注:%WinDir%为变量,一般为C:Windows 或 C:Winnt;
    %System%为变量,一般为C:WindowsSystem (Windows 95/98/Me), C:WinntSystem32 (Windows NT/2000),
    或 C:WindowsSystem32 (Windows XP)。