|
 | 作者: lixiaodong [lixiaodong]
 论坛用户 |
登录 |
| 病毒名称: worm.supnot.f.107008 我通过局域网的另一台电脑杀,可系统文件部分可能杀不掉 电脑没软驱,除了重装,还有没有别的办法 不重新分区,只格C盘,重装能管用么? |
| 地主 发表时间: 05/01 18:30 |
| 回复: lixiaodong [lixiaodong] 论坛用户 |
登录 |
|
救命啊! C盘格了重装,然后马上升级杀毒软件,之后什么都查不到,可晚几个小时之后又出现了~~~~ 难道是寄存在主板里了?? |
| B1层 发表时间: 05/02 11:55 |
 | 回复: CyberSpy [cyberspy] 论坛用户 |
登录 |
|
恶邮差、爱情后门病毒变种 病毒名称:I-Worm.Supnot.f 病毒类型:蠕虫 病毒长度:107,008字节 压缩方式:ASPACK 危害程度:中 传播方式:局域网、邮件 病毒特征: 该病毒主要利用邮件方式传播到局域网当中,计算机感染此病毒之后会将自身复制到%windows%\system32目录下改名为以下名称: Ravmond.exe WinGate.exe WinDriver.exe Winrpc.exe Winhelp.exe Iexplore.exe NetServices.exe 病毒还会在%windows%\system32目录下生成可能以以下名称命名的dll文件: Task688.dll Ily688.dll Reg678.dll 111.dll 这三个dll文件是由病毒体本身释放出来大小分别为: 59,832字节 34,020字节 81,920字节 81,920字节 病毒在生成以上文件以后会将它们的启动项添加到注册表: HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Current Version/Run键中,相应的键值为 "Program In Windows"="%Windows%\System32\IEXPLORE.EXE" "WinGate initialize"="%System32%\WinGate.exe -remoteshell" "WinHelp"="%System32%\WinHelp.exe" "Remote Procedure Call Locator"="RUNDLL32.EXE reg678.dll ondll_reg" 在HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows 加入注册键: run RAVMOND.EXE 将HKEY_CLASS_ROOT\txtfile\shell\open\command 注册键的默认值 Windows 98: C:\Windows\Notepad.exe % Windows NT and 2000: %SystemRoot%\system32\NOTEPAD.EXE %1 改为: winrpc.exe %1 这样一来蠕虫会在你每次打开一个.txt 文件时运行. 将后门例程程序作为线程注入 Lsass.exe。该后门程序会在TCP 1092、10168 端口监听通讯并用在163.com和 yahoo.com.cn 的电子邮件通知黑客到以下的其中一个电邮地址: 54love@fescomail.net hacker117@163.com hello_dll@163.com。 此蠕虫有例行密码确认。在键入正确密码后,蠕虫将为黑客打开命令解释程序。允许远程使用者存取及操纵受影响的系统,并且完全瓦解了系统的安全性. 创建服务从而能在用户注销后依旧运行. "Windows Management Instrumentation Driver Extension",其执行文件 %System32%\WinDriver.exe "NetMeeting Remote Desktop (RPC) Sharing",其执行命令为 "Rundll32.exe task688.dll ondll_server"。 "ll_reg",其执行命令为 "Rundll32.exe task688.dll ondll_server" 如蠕虫成功登录到远端计算机,它会将自己复制为: \\<remote computer name>\admin$\system32\netservices.exe.然后,它会以 "Microsoft NetWork Services FireWall" 服务的形式打开文件。 将一个“进程察看”程序作为线程注入 Explorer.exe 或 Taskmgr.exe。该远端线程会在蠕虫进程结束时调用 %System32%\Iexplore.exe. 该蠕虫监视 Explorer.exe 或 Taskmgr.exe 中的远端线程,并在其终止时重新将其注入 Explorer.exe 或 Taskmgr.exe。蠕虫以此套路来保持自己总是处于激活状态。 在局域网中只要有一台感染了该病毒之后,病毒会自动发广播包来探测局域网中的共享资源,探测到某台机器的共享资源就会将用简单的穷举算法来破解该机的管理员密码,穷举所用的密码包括: Guest Administrator zxcv yxcv xxx xp win test123 test temp123 temp sybase super sex secret pwd pw123 pw pc Password owner oracle mypc123 mypc mypass123 mypass love login Login Internet home godblessyou god enable database computer alpha admin123 Admin abcd aaa a 88888888 2600 2003 2002 123asd 123abc 123456789 1234567 123123 121212 12 11111111 110 007 00000000 000000 0 pass 54321 12345 password passwd server sql !@#$%^&* !@#$%^& !@#$%^ !@#$% asdfgh asdf !@#$ 1234 111 1 root abc123 12345678 abcdefg abcdef abc 888888 666666 111111 admin administrator guest 654321 123456 321 123 一旦得到该共享资源的具有写权限的密码就会将自身复制到该机的可写共享目录当中,复制到共享目录的可能的文件名主要有: Britney spears nude.exe.txt.exe I am For u.doc.exe Are you looking for Love.doc.exe autoexec.bat The world of lovers.txt.exe How To Hack Websites.exe Panda Titanium Crack.zip.exe Mafia Trainer!!!.exe 100 free essays school.pif AN-YOU-SUCK-IT.txt.pif Sex_For_You_Life.JPG.pif CloneCD + crack.exe Age of empires 2 crack.exe MoviezChannelsInstaler.exe Star Wars II Movie Full Downloader.exe Winrar + crack.exe SIMS FullDownloader.zip.exe MSN Password Hacker and Stealer.exe 如果被感染的机器是win2000/nt系统、却已经穷举计算出管理员密码的话就会远程进行病毒复制操作,将病毒体复制到%windows%\system32目录下命名为winrpc.exe并远程将其启动起来,并在远程计算机的桌面上生成以以上所列举的部分文件名命名的病毒文件。 病毒在进行局域网传播的同时还会搜索本地计算机的outlook地址簿,一旦地址簿中存在邮件地址的话就会自动开始向该地址发送带有病毒文件附件的邮件,可能的附件名称主要有以下几种: the hardcore game-.pif Sex in Office.rm.scr Deutsch BloodPatch!.exe s3msong.MP3.pif Me_nude.AVI.pif How to Crack all gamez.exe Macromedia Flash.scr SETUP.EXE Shakira.zip.exe dreamweaver MX (crack).exe StarWars2 - CloneAttack.rm.scr Industry Giant II.exe DSL Modem Uncapper.rar.exe joke.pif 请下载金山或者瑞星专杀工具 断开网络、到安全模式下杀 |
| B2层 发表时间: 05/02 12:09 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 病毒专区
标题: 这个病毒怎么这么凶?