 |
| 五毒虫木马 |
病毒类型:木马,受影响系统:Windows95,Windows98,WindowsMe,WindowsNT,Windows2000,WindowsXP,WindowsServer2003,病毒变种:Worm.Supnot.ac,Worm.Supnot.ad,Worm.Supnot.ae,Worm.Supnot.af,Worm.Supnot.ag,Worm.Supnot.ah,Worm.Supnot.ai,Worm.Supnot.aj,该病毒中危害级别最高的Worm.Supnot.ai/Worm.Supnot.aj两个变种。
病毒状况编辑本段回目录
 |
| 病毒状况 |
中毒后的计算机可能会出现如下的所有或任意一种现象:向外疯狂发送垃圾邮件、60秒倒计时重启、向QQ好友发送垃圾信息、打不开杀毒软件、向网络内其他机器攻击、上网速度缓慢等。
这个病毒几乎应用了所有病毒和木马的攻击和传播技术,不但危害严重,而且传播方式非常多样,极其讨厌。原因是很多病毒源代码在网上都有公布,此病毒作者将几个个危害严重的病毒代码重新组合编写,集五毒于一毒。
该病毒不仅可以中止各类杀毒软件进程,而且还可通过邮件大量传播,使更多用户受到感染。它可对系统造成更加严重威胁,不仅可打开系统后门让黑客更容易连结到用户计算机,拦截IE、QQ,网络游戏等应用程序,造成信息泄密。
该病毒作者利用了多种重大病毒源代码进行编写,它已经几乎具有了所有的病毒破坏方式:结束杀毒软件进程、邮件疯狂传播、QQ引诱消息传播、据有“木马”性质来盗取网络游戏账号等各种应用程序的密码、对网络造成严重堵塞。
另外,“五毒虫”病毒还会利用QQ发送带网址的消息,欺骗用户下载此病毒。
该病毒也利用了邮件进行传播,并会发送大量的垃圾邮件。带毒邮件的附件名如下,请用户一定要小心,不要上当中招。
技术细节编辑本段回目录
 |
| 技术细节 |
A、病毒运行后会将自身复制到系统目录下:
%SystemRoot%SYSTRA.EXE
%System%hxdef.exe
%System%IEXPLORE.EXE
%System%RAVMOND.exe
%System%
ealsched.exe
%System%vptray.exe
%System%kernel66.dll
B、在系统安装目录中生成
%System%ODBC16.dll
%System%msjdbc11.dll
%System%MSSIGN30.DLL
%System%LMMIB20.DLL
%System%NetMeeting.exe
%Windir%suchost.exe
%System%spollsv.exe
在每个盘符下生成如下两个文件
AUTORUN.INF
COMMAND.EXE
使用户一双击盘符即会中毒
C、在注册表主键:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
下添加如下键值:
WinHelp=%SYSTEM%
ealsched.exe
HardwareProfile=%SYSTEM%hxdef.exe
MircorsoftNetMeetingAssociates,Inc.=NetMeeting.exe
ProgramInWindows=%system%IEXPLORE.EXE
VFWEncoder/DecoderSettings=RUNDLL32.EXEMSSIGN30.DLLondll_reg
ProtectedStorage=RUNDLL32.EXEMSSIGN30.DLLondll_reg
ShellExtension=%system%spollsv.exe
对注册表主键:
HKEY_LOCAL_MACHINESOFTWAREClassestxtfileshellopencommand
修改如下键值
默认=vptray.exe%1
在注册表主键
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
unServices
下添加如下键值:
SystemTra=%Windor%SysTra.EXE
COM++System=suchost.exe
对于win98/me系统会对%system%win.ini文件内添加如下内容:
run=%System%RAVMOND.exe
D、会创建一个名为WindowsManagementProtocolv.0(experimental)和_reg的两个服务,服务对应的病毒文件为msjdbc11.dll,入口参数为ondll_server。
E、随机开启一个端口,作为后门。
F、收集系统信息,存为C:NETLOG.TXT,每行均以NETDI做为开头
 |
| 技术细节 |
WinRAR.exe
InternetExplorer.bat
DocumentsandSettings.txt.exe
MicrosoftOffice.exe
WindowsMediaPlayer.zip.exe
supportTools.exe
WindowsUpdate.pif
Cain.pif
MSDN.ZIP.pif
autoexec.bat
findpass.exe
client.exe
i386.exe
winhlp32.exe
xcopy.exe
mmc.exe
G、会释放一个名为suchost.exe文件用于将病毒体和EXE文件进行捆绑。互斥量为:I090909!
H、会在网络映射磁盘或可移动磁盘中搜索EXE文件,替换原文件,并将原文件改名为~ex,同时生成tools.rar,压缩包中包括Tools.scr文件为病毒程序。
解决方案编辑本段回目录
 |
| 解决方案 |
a)启动漏洞扫描,并把有漏洞的机器安装漏洞修复程序,以保证电脑免受病毒攻击;
b)执行弱密码及可写共享扫描,并立即修正,以切断“五毒虫”传播途径。
2、如果中了该病毒,启动不了杀毒软件主程序的情况下,可以通过如下步骤解决。
第一步:马上使用杀毒软件开始菜单程序内的单独升级模块进行升级;
第二步:启动计算机到安全模式,启动杀毒软件进行查杀;
国内著名厂商如:金山、瑞星,国外诺顿等都拥有单独的升级模块,可以轻易的解决该病毒。
★“五毒虫”专杀工具(版本:2004.7.14.9)----查杀恶邮差最新8变种(即“五毒虫)
毒霸下载 http://www.kingsoft.com/download/downfile/duba/DB_Supnot.COM
★下载使用3721五毒虫病毒专杀工具,即可清理该病毒及其变种。
http://download.3721.com/download/supnotkiller.com
忠告编辑本段回目录
 |
| 忠告 |
良好的上网习惯可以减轻中毒的几率:
1、查杀完病毒后,请注意打上最新的系统补丁,特别是冲击波、震荡波的补丁
2、修改弱密码,强烈建议致少使用4个字母和4个数字的组合密码
3、养成良好习惯,不轻易打开即时通讯工具传来的网址,不打有附件的邮件
4、打开金山网镖和金山毒霸病毒防火墙,防止病毒进入系统。
五毒虫”用了邮件、漏洞攻击、局域网攻击、QQ小尾巴等多种传播方式,对于拥有局域网的企业级用户来说具有极大的威胁。该病毒会强制关闭反病毒软件,还会用伴生和捆绑等方式感染文件,来充分的隐藏自己,让管理员防不胜防。
紧急处理编辑本段回目录
 |
| 紧急处理 |
金山毒霸网络版升级到2004年7月14日的病毒库可清除该病毒。
为了安全彻底地清除该病毒,并防止病毒在局域网内交叉感染,部署了金山毒霸网络版的企业级用户请采用如下步骤:
1.立即通知系统中心(网络版1.0及1.5用户)或升级服务器(网络版2.0用户)升级,查看升级日志,确保其成功升级到最新病毒库(2004年7月14日或更新),几分钟内,全网电脑将自动完成升级。
2.从系统中心或管理中心(网络版2.0用户)启动全网扫描。
3.对于已中毒造成毒霸进程关闭而不能正常升级和启动扫描的电脑请立即用以下步骤进行处理
1)、点击菜单中的“金山毒霸网络版升级程序”,单独运行升级程序更新病毒库,更新成功后,请将此电脑从网络中隔离,以免造成交叉及重复感染。
2)下载最新"五毒虫"专杀工具:http://db.kingsoft.com/download/3/157.shtml
3)将Kavdx.exe复制一个副本,命名为Kavdx.com。
4)重新启动计算机到带命今行的安全模式(启动时按F8)
在DOS模式下启动Kavdx.com进行全盘查杀
如:C:KavnetKavdx.com/all
(C:kavnet为金山毒霸网络版客户端安装目录,您需要根据实际安装目录作相应更改)
5)因为病毒会采用伴生型感染文件,查杀完毕后,使用专杀工具自动修复被病毒改名的无毒系统程序。
防止传播编辑本段回目录
 |
| 防止传播 |
1.通过系统中心或管理中心强制所有客户端打开病毒防火墙及邮件防火墙,设置关闭密码以防止用户自行关闭;
2.查杀完病毒后,打上最新的系统补丁,特别是冲击波、震荡波的补丁
网络版2.0用户可以采用全网漏洞扫描方式给所有电脑安装漏洞修复程序
3.修改弱密码,强烈建议致少使用4个字母和4个数字的组合密码,基于NT/2000/2003域模式的网络可通过组策略强制所有用户修改为强壮的密码
4.不断指导或培训用户养成良好习惯,不轻易打开即时通讯工具传来的网址,不打可疑邮件的附件
