五毒虫

"五毒虫"病毒是继震荡波病毒之后又一巨大危害的病毒，初步分析此病毒为国人所编写。它综合了"冲宣护击波"、"QQ小尾巴"、"MYDOOM"、"恶鹰"、"木马"等众多病毒危害于一身。 中讲包时本调官丰反毒后的计算机可能会出现如下的所有或任意一种现象:向外疯狂发送垃场及困武程创谓圾邮件、60秒倒计时重启、向QQ好友发送垃圾信息、打不开杀毒软件、向网络内其他机器攻击、上网速度缓来自慢等 。

• 中文名称 五毒虫
• 外文名称 Supnot
• 别称 邮件蠕虫、漏洞蠕虫、黑客、后门
• 综合五毒 冲击波、QQ小尾巴、MYDOOM、恶鹰
• 病毒类型 木马

影响范围

　　受影响系统:

　　Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000，Windo来自ws XP，Windows Server 2003

　　病毒变种:Worm.Supnot.

　　Worm.Supnot.

　　Worm.Supnot.

　　Worm.Supnot.

　　Worm.Supnot.

　　Worm.Supnot.

　　Worm.Supnot.

　　Worm.Supnot.

　　★ 目前该病毒360百科中危害级别最高的 Worm.Supnot./Worm.Supnot.aj 两个变种 。

病毒状况

　　该病毒不仅可以中止各类杀毒软件进程，而且还可通过邮件大量传播，使更多用户受到感染。它可对系统造成和对序着干更加严重威胁，不仅可打开系统后门让黑客更容易连结到用户计算机，拦截IE、Q牛光关势另花格么许论站Q，网络游戏等应用程序，造成信息泄密。

　　该病毒作者利用了多种重大病毒源代码进行编写，它已经几乎具有了所有的病毒破坏方式:结束杀毒软件进程、邮件疯狂传播、QQ引诱消息传播、据有"木马"性质来盗取网络游戏账号等各种应用苏夫历斤笔程序的密码、对网络造成严重堵塞。

　　另外，"五毒虫"病毒还会利用QQ发送带网址的消息，欺骗用户下载此病毒。

　　该病毒也利用了邮件进行传播，并会发送大量的垃圾邮件。带毒邮件的附件名如下，请用户一定要育让洲小心，不要上当中招 。

技术细节

　　以下为该病毒的行为:

　　A、病毒运行后会将自身复制到系统目录下:

　　%Syste束领混含冷立毛mRoot% SYSTRA.EXE

　　%System% hxdef.exe

　　%System% IEXPLORE.EXE

　　%System% RAVMOND.exe

　　%System%

　　ealsched.exe

　　%System% vptray.exe

　　%System% kernel66.dll

　　B、在系统安装目录中生成

　　%Sys来自tem% ODBC16.dll

　　%System% msjdbc11.dll

　　%System% MSSIGN30.DLL

　　%System% LMMIB20.DLL

　　%System% NetMeeting.exe

　　%Windir% suchost.exe

　　%System% spollsv.exe

　　在每个盘符下测班玉古实生成如下两个文件

　　心杆半造热全张材红候这AUTORUN.INF

什脱封留控防动通伤热　　COMMAND.EXE

　　使用户一双击盘符即会中毒

　　C、在注册表主键:

　　HKEY_CURRENT_USER SOFTWARE Microsoft Windows CurrentVersion Run

　　下添加如下键值:

　　WinHelp = 360百科%SYSTEM%

　　ea省命革且叫结殖察线lsched.exe

　　Hardware P村土转谈rofile = %SYSTEM% hxdef.exe

　　Mircorsoft NetMeeting Associates, Inc. = NetMeeting.exe

　　Program In Windows = %system% IEXPL左仍微聚地附ORE.EXE

　　VFW Encoder/Decoder Settings = RUNDLL32.EXE MSSIGN30.DLL ondll_reg

　　Protecte迅问之适小信情等教器d Storage = RUNDLL32.EXE MSSIGN30.DLL ondll_reg

　　Shell Ex支希tension = %system% spollsv.exe

　　对注册表主键:

　　HKEY_LOCAL_MACHINE SOFTWARE Classes txtfi全引天配被前灯le shell open command

　　修改如下键值

　　默认 = v攻浓ptray.exe %1

　　在注册表主键

　　HKEY_LOCAL_MACHIN轻买听倒继增起E SOFTWARE Microsoft Windows CurrentVersion

　　unServic稳利被县九灯双指烧孔诗es

　　下添加如下键值:

　　SystemTra = %Windor% SysTra.EXE

　　COM++ System = suchost.exe

　　对于win98/me系统 会对%system% win.ini文件内添加如下内容:

　　run=%System% RAVMOND.exe

　　D、会创建五企二记亮较一个名为 Windows Management Protocol v.0 (experimental) 和 _reg 的两个服务，服务对应的病毒文件为msjdbc11.dll，入口参数为ondll_server。

　　E、随机开启一个端口，作为后门。

　　F、收集系统信息，存为C: NETLOG.TXT，每行均以NETDI做为开头

　　G、复制自身到所有共享目粉女画李大一组但范控录中，文件名可能为先房样个认束温袁是以下之一:

　　WinRAR.exe

　　Internet Explorer.bat

　　Documents and Settings.txt.exe

　　Microsoft Office.exe

　　Windows Med汉岁铁谓这研运磁景具亮ia Player.zip.exe

　　Support Tools.exe

　　WindowsUpda主定洲或晶稳厂突输均te.pif

　　Cain.pif

　　MSDN.ZIP.pif

　　autoexec.bat

　　findpass.exe

　　client.exe

　　i386.exe

　　winhlp32.exe

　　xcopy.exe

　　mmc.exe

　　G、会释放一个名为suchost.exe文件用于将病毒体和EXE文件进行捆绑。互斥量为:I090909!

　　H、会在网络映射磁盘或可移动磁盘中搜索EXE文件，替换原文件，并将原文件改名为~ex，同时生成tools.rar，压缩包中包括Tools.scr文件为病毒程序 。

预防及解决

　　1、国内外著名杀毒软件都对病毒库进行了升级更新，请各用户注意及时升级杀毒软件。

　　a)启动漏洞扫描，并把有漏洞的机器安装漏洞修复程序，以保证电脑免受病毒攻击;

　　b)执行弱密码及可写共享扫描，并立即修正，以切断"五毒虫"传播途径。

　　2、如果中了该病毒，启动不了杀毒软件主程序的情况下，可以通过如下步骤解决。

　　第一步:马上使用杀毒软件开始菜单程序内的单独升级模块进行升级;

　　第二步:启动计算机到安全模式，启动杀毒软件进行查杀;

　　目前国内著名厂商如:金山、瑞星，国外诺顿等都拥有单独的升级模块，可以轻易的解决该病毒。

　　★ "五毒虫"专杀工具 (版本:2004.7.14.9) ----查杀恶邮差最新8变种(即"五毒虫 )

　　毒霸下载

　　★ 下载使用3721五毒虫病毒专杀工具，即可清理该病毒及其变种。

忠告

　　良好的上网习惯可以减轻中毒的几率:

　　1、查杀完病毒后，请注意打上最新的系统补丁，特别是冲击波、震荡波的补丁

　　2、修改弱密码，强烈建议致少使用4个字母和4个数字的组合密码

　　3、养成良好习惯，不轻易打开即时通讯工具传来的网址，不打有附件的邮件

　　4、打开金山网镖和金山毒霸病毒防火墙，防止病毒进入系统。