● I-Worm.supnot.w爱情后门之最新变种 - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: sweetman (神子天使), 信区: Virus
标题: I-Worm.supnot.w爱情后门之最新变种
发信站: 荔园晨风BBS站 (Thu May 13 16:26:37 2004), 站内信件

该病毒为爱情后门病毒的最新变种。大小约为125K，采用ASPACK2.12压缩。
病毒被执行以后在system目录下生成了以下文件
　　　hxdef.exe
　　　ravmond.exe
　　　iexplore.exe
　　　kernel66.dll
　　　odbc16.dll
　　　msjdbc11.dll
　　　MSSIGN30.DLL
　　　spollsv.exe
　　　NetMeeting.exe
　　　a
在windows目录下生成:
SYSTRA.EXE
在每个分区根根目录下生成以下文件：
　　　bak.rar
　　　bak.zip
　　　install.rar
　　　install.zip
　　　letter.rar
　　　letter.zip
　　　pass.rar
　　　pass.zip
　　　setup.rar
　　　setup.zip
　　　work.rar
　　　work.zip
　　　autorun.inf
　　　command.exe
在被执行的病毒文件所在的目录下会生成以下文件：
　　　results.txt
　　　win2k.txt-----当当前系统是windows2000时产生
　　　winxp.txt-----当当前系统是windows XP时产生

写以下注册表项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run]
"Hardware Profile"="%Windir%\\System32\\hxdef.exe"
"VFW Encoder/Decoder Settings"="
RUNDLL32.EXE MSSIGN30.DLL　ondll_reg"
"Microsoft NetMeeting Associates, Inc."="NetMeeting.exe"
"Program In Windows"="%Windir%\\System32\\IEXPLORE.EXE"
"Shell Extension"="%Windir%\\System32\\spollsv.exe"
"Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL　ondll_reg"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\runServices]
"SystemTra"="%Windir%\\SysTra.EXE"

添加以下服务：

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_reg]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
Windows Management Protocol v.0 (experimental)]

　　　病毒自带FTP服务器端，它会在15436端口提供一个FTP服务，这样病毒就可
以通过建立一个文本方式的下载脚本文件来从被感染计算机上下载病毒可执行文件
。病毒会利用共享方式进行传播，共享传播主要通过netmeeting.exe来进行，它会
扫描网络内的共享资源，并尝试将自身复制到远程共享。

　　　病毒会使用windows的程序CMD.EXE写文本文件a，内容如下：

open 127.0.0.1 15436
ftp
ftp
bin
get hxdef.exe
bye

　　　并使用该文件来下载病毒可执行文件，病毒会不停调用cmd.exe程序，由于
cmd.exe为隐藏运行，用户可以在进程管理器中看到1个以上的cmd.exe进程。
病毒还自带SMTP引擎，它将使用该引擎向从被感染计算机上搜集到的电子邮件地址
发送带病毒附件的垃圾邮件，邮件内容如下：

发件人：从搜索到的电子邮件地址中随机获取
收件人：从搜索到的电子邮件地址中随机获取
主题：
正文：
附件：大小125K左右，扩展名为以下类型的文件：
.exe
.scr
.pif
.cmd
.bat
.zip
.rar

　　　病毒会尝试感染网络中的共享资源（探测网络内计算机的135、139、445等
端口），当发现有可写的共享资源时，病毒会将自己的副本写入该共享，如果病毒
探测到被感染计算机的有权限用户的弱口令（使用自带的密码库），病毒会远程将
病毒执行起来达到网络传染的目的。

　　　病毒会搜索本地除了系统盘以外的所有分区上的EXE文件并尝试将其扩展名
改为.zmx，并将属性设置为隐藏+系统，然后将病毒的副本复制到EXE文件所在目录
病毒将名称改为该EXE的名称。另外病毒也会将自身的副本随机复制到任意目录当
中（名称主要有自带的列表和从被感染计算机上搜索到的EXE文件名两种，自带的
文件名列表略）。

--
前途漫漫，我心依旧
失去了才知道珍惜

Welcome come to my ftp
ftp://xiang:xiang@192.168.85.172:707

※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.85.148]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店