|
据毒霸网的消息, 他们已经截获“五毒虫”病毒(这个名字真中国化。),这是续震荡波病毒之后又一巨大危害的病毒,初步分析此病毒为国人所编写.它综合了“冲击波”、“QQ小尾巴”、“MYDOOM”、“恶鹰”、“木马”等众多病毒危害于一身,将对电脑用户造成严重危害.中毒后的计算机可能会出现如下的所有或任意一种现象:向外疯狂发送垃圾邮件、60秒倒计时重启、向QQ好友发送垃圾信息、打不开杀毒软件、向网络内其他机器攻击、上网速度缓慢等.
这个病毒目前几乎应用了所有病毒和木马的攻击和传播技术,不但危害严重,而且传播方式非常多样,极其讨厌。原因是很多病毒源代码在网上都有公布,此病毒作者将几个个危害严重的病毒代码重新组合编写,集五毒于一毒。 看来这就是中文化病毒名的来历。
该病毒不仅可以中止各类杀毒软件进程,而且还可通过邮件大量传播,使更多用户受到感染。目前它可对系统造成更加严重威胁,不仅可打开系统后门让黑客更容易连结到用户计算机,拦截IE、QQ,网络游戏等应用程序,造成信息泄密。
另外,“五毒虫”病毒还会利用QQ发送带网址的消息,欺骗用户下载此病毒。
该病毒也利用了邮件进行传播,并会发送大量的垃圾邮件。带毒邮件的附件名如下,请用户一定要小心,不要上当中招。
金山毒霸技术总监孙国军怀疑该病毒作者利用了多种重大病毒源代码进行编写,目前它已经几乎具有了所有的病毒破坏方式:结束杀毒软件进程、邮件疯狂传播、QQ引诱消息传播、据有“木马”性质来盗取网络游戏账号等各种应用程序的密码、对网络造成严重堵塞。
目前国内厂商金山,国外诺顿等都拥有单独的升级模块,可以轻易的解决该病毒。
附毒霸给出的解决方案:
金山毒霸2004年7月14日的病毒库可处理该病毒。为了更安全完整清除该病毒,请使用以下步骤:
1、点击菜单中的“在线升级”,单独运行升级程序更新病毒库新
2、还可以下载最新"五毒虫"专杀工具:http://db.kingsoft.com/download/3/157.shtml
3、在正常模式下,将KAV32.exe和Kavdx.exe 分别复制一个复本,命名为Kav32.com和Kavdx.com。
4、重新启动计算机到带命今行的安全模式(开机时按F8)
在DOS模式下先进行毒霸自我查毒:
C:\Kav6\Kavdx.com .\*.* [回车]
然后开始全盘杀毒
C:\Kav6\Kav32.com [回车]
5、因为病毒会采用伴生型感染文件,查杀完毕后,使用专杀工具自动修复被病毒改名的无毒系统程序。 此外注意查杀病毒后打上最新的系统补丁,特别是冲击波、震荡波的补丁。从毒霸网上看这个病毒已经有8个变种。我抽取一个最新变种的分析报告提供给大家,以帮助在需要的时候手工应急:
“五毒虫”变种AI(Worm.Supnot.ai)分析报告 2004年07月15日03:28:37 毒霸信息安全网 病毒信息:
病毒名称: Worm.Supnot.ai 中文名称: 五毒虫 威胁级别: 4A 病毒类型: 邮件蠕虫、漏洞蠕虫、黑客、后门 病毒类型: 木马 受影响系统:Win9x/WinNT/Win2K/WinXP/Win2003
破坏方式: A、病毒利用邮件、DCOM RPC漏洞、局域网进行疯狂传播,导致网络瘫痪等现象 B、开后门,等待黑客连接,造成泄密等损失 C、采用捆绑式感染系统中的EXE文件,损坏系统 D、将自身伪装成流行软件的新版本或者新软件的破解补丁等,诱使用户双击运 E、利用QQ散布带网址信息的消息,诱使用户下载病毒 F、盗取网络中的密码,送到病毒作者指定的信箱
发作条件: 运行后会通过邮件传播,将自己作为邮件的附件.也会通过拷贝自身到网络共享可写目录传播.另外 它还会对局域网的机器进行弱密码攻击,成功后也会拷贝自身到被攻击机器并执行。
它还会对局域网的机器进行弱密码攻击,成功后也会拷贝自身到被攻击机器并执行。
发作现象: A、如果杀毒软件进程存在,则中止以下进程: KV KAV Duba NAV kill RavMon.exe Rfw.exe Gate McAfee Symantec SkyNet Rising
B、对网络上的计算机的管理员密码,进行弱密码攻击,如果攻击成功的话,则病毒感染这台机器。
C、搜索邮件列表,并试图发电子邮件,电子邮件的附件一般名为: the hardcore game-.pif Sex in Office.rm.scr Deutsch BloodPatch!.exe s3msong.MP3.pif Me_nude.AVI.pif How to Crack all gamez.exe Macromedia Flash.scr SETUP.EXE Shakira.zip.exe dreamweaver MX (crack).exe StarWars2 - CloneAttack.rm.scr Industry Giant II.exe DSL Modem Uncapper.rar.exe joke.pif Britney spears nude.exe.txt.exe I am For u.doc.exe
D、在所有目录中搜索后缀名为如下的的文件 .htm .sht .php .asp .dbx .tbb .adb .wab 从中找到邮件地址,并用自己的邮件系统发送邮件
E、搜索c-z的硬盘,如果发现可移动设备,进行下列操作: 搜索扩展名为exe的文件,将原文件扩展名改为zmx,同时将病毒自身拷贝到此并和原文件同名.
F、搜索本地邮件客户端,如:Microsoft Outlook等,并回复所有收到的邮件: 如果原信件为:
标题: 原标题 发件人: @ 内容: <内容>
蠕虫回复的邮件就为:
标题: Re: 原标题 收件人: @ 内容: '' 写道: ==== > <原信件内容> > ====
<发件者的邮件服务器> 帐号自动回复:
followed by one of the following:
If you can keep your head when all about you Are losing theirs and blaming it on you; (后面的省略了)
> Get your FREE account now! <
H,在下列目录中搜索扩展名为.txt, .pl, .wab, .adb, .tbb, .dbx, .asp, .php, .sht, and .htm的文件,并在这些文件中搜索email地址. %Windir%\Local Settings \Documents and Settings\\local settings Temporary Internet Files 21,通过自己的smtp引擎向搜索到的email地址发信,特征为: 发件人: 随机字符
标题:下列之一 test hi hello Mail Delivery System Mail Transaction Failed Server Report Status Error
内容: 下列之一 pass Mail failed. For further assistance, please contact! The message contains Unicode characters and has been sent as a binary attachment. It's the long-awaited film version of the Broadway hit. The message sent as a binary attachment.
附件: (下列之一) document readme doc text file data test message body
扩展名: .bat .exe .scr .pif
G、将%Windir%\Media设置为共享目录,名字为Media
H、会监视用户密码,并将监视到的结果保存到 %System%/win32add.sys %System%/win32pwd.sys
格式如下 ftp://用户名1:密码1@IP1/ ftp://用户名2:密码2@IP2/
I、病毒如果发现QQ的“发送”按钮,则会自动发送如下信息之一: 你那瓜子形的形,那么白净,弯弯的一双眉毛,那么修长;水汪汪的一对眼睛,那么明亮! 你是花丛中的蝴蝶,是百合花中的蓓蕾。无论什么衣服穿到你的身上,总是那么端庄、好看。 在风吹干你的散发时,我简直着魔了:在闪闪发光的披肩柔发中,在淡淡入鬓的蛾眉问,在碧水漓漓的眼睛里……你竟是如此美丽可人! 你是一尊象牙雕刻的女神,大方、端庄、温柔、姻静,无一不使男人深深崇拜。 你其有点像天上的月亮,也像那闪烁的星星,可惜我不是诗人,否则,当写一万首诗来形容你的美丽。 春花秋月,是诗人们歌颂的情景,可是我对于它,却感到十分平凡。只有你嵌着梨涡的笑容,才是我眼中最美的偶象。 你笑起来的样子最为动人,两片薄薄的嘴唇在笑,长长的眼睛在笑,腮上两个陷得很举动的酒窝也在笑. 你蹦蹦跳跳地走进来,一件红尼大衣,紧束着腰带,显得那么轻盈,那么矫健,简直就像天边飘来一朵红云。 远远地,我目送你的背影,你那用一束大红色绸带扎在脑后的黑发,宛如幽静的月夜里从山涧中倾泻下来的一壁瀑布。 其实,我最先认识你是在照片上。照片上的你托腮凝眸,若有所思。那份温柔、那份美感、那份妩媚,使我久久难以忘怀 你是那样地美,美得象一首抒情诗。你全身充溢着少女的纯情和青春的风采。留给我印象最深的是你那双湖水般清澈的眸子,以及长长的、一闪一闪的睫毛。像是探询,像是关切,像是问候。
后面跟上“ 这是你需要的东西: 下载地址1 下载地址2
如:其实,我最先认识你是在照片上。照片上的你托腮凝眸,若有所思。那份温柔、那份美感、那份妩媚,使我久久难以忘怀。这是你需要的东西: 下载地址1 下载地址2
下载内容为病毒文件。链接为 病毒文件,用户运行后即会中毒
技术特点:(点击查看详情)
A、木马运行后会将自身复制到系统目录下: %SystemRoot%\SYSTRA.EXE %System%\hxdef.exe %System%\IEXPLORE.EXE %System%\RAVMOND.exe %System%\realsched.exe %System%\vptray.exe %System%\kernel66.dll 在系统安装目录中生成 %System%\ODBC16.dll %System%\msjdbc11.dll %System%\MSSIGN30.DLL %System%\LMMIB20.DLL %System%\NetMeeting.exe %System%\spollsv.exe %system%\internet.exe %System%\svch0st.exe 在每个盘符下生成如下两个文件 AUTORUN.INF COMMAND.EXE 使用户一双击盘符即会中毒
B、在注册表主键: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下添加如下键值: "WinHelp"="%SYSTEM%"\realsched.exe" "Hardware Profile" ="%SYSTEM%"\hxdef.exe" "Mircorsoft NetMeeting Associates, Inc."="NetMeeting.exe" "Program In Windows"="%system%\IEXPLORE.EXE" "VFW Encoder/Decoder Settings"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg" "Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg" "Shell Extension"="%system%\spollsv.exe"
"Network Associates, Inc."="internet.exe" "S0undMan"="svch0st.exe" 在注册表主键 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\runServices 下添加如下键值: "SystemTra"="%Windor%\SysTra.EXE"
对于win98/me系统 会对%system%\win.ini文件内添加如下内容: run=%System%\RAVMOND.exe
C、会创建一个名为 "Windows Management Protocol v.0 (experimental)"和"_reg"的两个服务,服务对应的病毒文件为msjdbc11.dll 和ondll_server。
D、随机开启一个端口,作为后门。
E、收集系统信息,存为C:\NETLOG.TXT,每行均以NETDI做为开头
F、复制自身到所有共享目录中,文件名可能是以下之一: WinRAR.exe Internet Explorer.bat Documents and Settings.txt.exe Microsoft Office.exe Windows Media Player.zip.exe Support Tools.exe WindowsUpdate.pif Cain.pif MSDN.ZIP.pif autoexec.bat findpass.exe client.exe i386.exe winhlp32.exe xcopy.exe mmc.exe
G、会释放一个名为suchost.exe文件用于将病毒体和EXE文件进行捆绑。互斥量为:I090909!
|
|
|
|