与 Time.Af 不相关的其它视频
关于 “五毒虫”变种AF(Worm.Supnot.af) 的百科小常识
病毒信息:病毒名称: Worm.Supnot.af
中文名称: 五毒虫
威胁级别: 3B
病毒类型: 邮件蠕虫、漏洞蠕虫、黑客、后门
病毒类型: 木马
受影响系统:Win9x Windows 2000 Windows XP Windows 2003
破坏方式:
A、病毒利用邮件、DCOM RPC漏洞、局域网进行疯狂传播 导致网络瘫痪等现象
B、开后门 等待黑客连接 造成泄密等损失
C、采用捆绑式感染系统中的EXE文件 损坏系统
D、将自身伪装成流行软件的新版本或者新软件的破解补丁等 诱使用户双击运
发作现象:
A、停止下列服务:
Rising Realtime Monitor Service
Symantec Antivirus Server
Symantec Client
来阻止病毒防火墙自动运行.
B、 结束掉含有下列字符串的进程:
Duba
KAV
SkyNet
Symantec
McAfee
Gate
Rfw.exe
RavMon.exe
kill
rising
Nav
让反病毒软件失效
C、搜索c-z的硬盘 如果发现可移动设备 进行下列操作:
搜索扩展名为exe的文件 将原文件扩展名改为zmx 同时将病毒自身拷贝到此并和原文件同名.
D、拷贝自身到网络共享可写目录 名字为:
WinRAR.exe
Internet Explorer.bat
Documents and Settings.txt.exe
Microsoft Office.exe
Windows Media Player.zip.exe
Support Tools.exe
WindowsUpdate.pif
Cain.pif
MSDN.ZIP.pif
autoexec.bat
findpass.exe
client.exe
i386.exe
winhlp32.exe
xcopy.exe
mmc.exe
E、使简单的的密码组合来攻击远程机器的Administrator帐号 攻击成功后传播病毒
技术特点:
A、自我复制到
%Windir%\CDPlay.exe
%Windir%\Exploier.exe
%System%\IEXPLORE.exe
%System%\RAVMOND.exe
%System%\WinHelp.exe
%System%\Update_OB.exe
%System%\TkBellExe.exe
%System%\hxdef.exe
%System%\Kernel66.dll (隐藏属性)
B、 在每个分区的根目录建立一个名为CDROM.COM的文件
C、 建立%System%\iexplorer.exe这个文件 这是恶邮差系列的另外一个变种 当这个变种运行时 进行的系统修改有:
a、拷贝自身到%System%\spollsv.exe.
b、添加下列键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Shell Extension" = "%system%\spollsv.exe"
D、在每个分区根目录下建立autorun.inf文件 内容为:
[Autorun]
open="C:\cdrom.com"/StartExplorer
E、在每个分区根目录下建立下列文件:
Bakeup
Tools
扩展名为:
RAR
ZIP
F、向注册表添加:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Winhelp"="%system%\TkBellExe.exe..."
"Microsoft Associates Inc."="%system%\iexplorer.exe"
"Hardware Profile"="%system%\hxdef.exe..."
"Program in Windows"="%system%\IEXPLORE.exe"
G、添加服务:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
"SystemTra"="%Windor%\CDPlay.EXE"
"COM++ System"="exploier.exe"
H、修改注册表键值:
HKEY_CLASSES_ROOT\txtfile\shell\open\command
HKEY_LOCAL_MACHINE\Software\Classes\txtfile\shell\open\command
"(Default)"="Update_OB.exe%1"
这样当你每次打开一个txt文件时 病毒都会运行.
I、创建注册表键值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ZMXLIB1
J、添加下列注册表键值:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
"run"="RAVMOND.exe"
K、在端口6000进行监听 将监听结果记录到:
C:\Netlog.txt 并通过email发送给攻击者
L、将%Windir%\Media设置为共享目录 名字为Media
M、在本地搜索扩展名为exe的文件 进行感染.
解决方案:
A、 请使用金山毒霸2004年7月14日的病毒库可完全处理该病毒。
B、查杀完病毒后 请注意打上最新的系统补丁 特别是冲击波、震荡波的补丁
C、修改弱密码 强烈建议致少使用4个字母和4个数字的组合密码
D、养成良好习惯 不轻易打开即时通讯工具传来的网址 不打有附件的邮件
E、打开金山网镖和金山毒霸病毒防火墙 防止病毒进入系统。
|
机票搜索 便民查询网 9V无限车网 国家司法考试教育网 薇薇化妆品网 拍拍趣视频 火车票网 大学生团购网 BJGW 战队 漂流瓶网络 ImageMagick 中文站 京ICP备06059836号 |