I-Worm/Supkp.m简介_I-Worm/Supkp.m个人资料_I-Worm/Supkp.m微博_百科网
A-A+

I-Worm/Supkp.m简介_I-Worm/Supkp.m个人资料_I-Worm/Supkp.m微博

2018-03-14 21:01:26 自然百科 阅读 4 次

 

概述/I-Worm/Supkp.m 编辑

I-Worm/Supkp.m
病毒长度:98,304 bytes
病毒类型:网络蠕虫危害级别:**
影响平台:Win2000/XP/NT/2003I-Worm/Supkp.m是用C++编写并用ASPack压缩过的群发邮件蠕虫,试图回复Outlook收件箱里的所有邮件。此外蠕虫还通过KaZaA网络资源共享软件传播,复制自身到Kazaa文件夹下。

 

特点/I-Worm/Supkp.m 编辑

病毒传播过程及特征:
1.在系统目录下复制自身为iexplore.exe ,Media32.exe ,RAVMOND.exe ,winhelp.exe ,Kernel66.dll;在安装目录下复制自身为Systra.exe 。
2.搜索除CD-ROM以外的所有驱动器下的根目录文件夹,在此蠕虫复制自身为command.exe,并生成AUTORUN.INF。
3.在所有驱动器(除A和B)的根目录文件夹下生成结构为 <A>.<rar/zip>的压缩文件。
<A>为下列之一:WORK  setup  Important  bak  letter  pass
在这个压缩文件里包含了一个蠕虫副本文件,结构为:<B>.<ext>
<B>下列之一:WORK  setup  Important  book  email  PassWord
<ext>下列之一:exe   com   pif   scr
4.在系统目录下生成文件:ODBC16.dll,msjdbc11.dll, MSSIGN30.DLL
5.修改注册表:
修改HKEY_CLASSES_ROOTexefileshellopencommand的值改为%System%Media32.exe
"%1" %*HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加
"Program in Windows"="%system%iexplore.exe"和"VFW Encoder/Decoder
Settings"="RUNDLL32.exe MSSIGN30.DLL ondll_reg"和
"WinHelp"="%system%WinHelp.exe"键值
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRunServices下添加"Systemtra"=
"%Windir%Systra.exe"键值
HKEY_CURRENT_USERSoftwareMicrosoft
Windows NTCurrentVersionWindows下添加"run"=
"RAVMOND.exe"键值生成HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrentVersionZMXLIB1子键
6.蠕虫拷贝自身到KaZaA的文件夹下,扩展名为.bat.exe.pif.scr.
7.复制自身到所有网络共享文件夹及其子文件,此外搜索所有驱动器,尝试将扩展名为.exe的文件改为.zmx,并用原文件名复制蠕虫文件,设置其为隐藏文件、系统文件。
8.创建"Windows Management Protocol v.0 (experimental)" 服务
9.终止一些反病毒软件进程
10.设安装目录下的Media共享。
11.在端口6000运行后门程序,用来盗取安全意识薄弱的系统信息和存储在C:Netlog.txt文件里的信息并发送到特定的地址。
12.扫描本地网络的所有计算机,用自带的密码库进行破解,企图得到系统管理员权限。一旦成功,便拷贝自身到其系统目录下文件名为NetManager32.exe,并作为"Management Service Extension"服务运行。
13.在Explorer.exe或Taskmgr.exe中注入一个进程监视程序,一旦发现蠕虫被终止就运行%System32%Iexplore.exe
14.进入 MAPI-compliant 邮件客户端(包括:Microsoft Outlook)邮箱后会回复收件箱中的所有邮件。邮件的发件人是伪造的,主题、正文都是可变的,附件是扩展名为 .exe, .pif, 或 .scr的文件。