论坛: 病毒专区 标题: 谁有五毒虫病毒的解决方案? 复制本贴地址    
作者: 鲁达 [xiaoqing09]    论坛用户   登录
kailangq认为到目前为止,问题已有明确答案,本贴已被冻结,不再接受更多的回复

“五毒虫”综合了“冲击波”、“QQ小尾巴”、“MYDOOM”、“恶鹰”、“木马”等众多病毒危害于一身,将对电脑用户造成严重危害。据率先截获此病毒的金山毒霸反病毒工程师介绍,中此毒后的计算机可能会出现如下的所有或任意一种现象:向外疯狂发送垃圾邮件、60秒倒计时重启、向QQ好友发送垃圾信息、打不开杀毒软件、向网络内其他机器攻击、上网速度缓慢等。
  
  据悉,这个病毒目前几乎应用了所有病毒和木马的攻击和传播技术,不但危害严重,而且传播方式非常多样,极其讨厌。原因是很多病毒源代码在网上都有公布,此病毒作者将几个个危害严重的病毒代码重新组合编写,集五毒于一毒。
  
  该病毒不仅可以中止各类杀毒软件进程,而且还可通过邮件大量传播,使更多用户受到感染。目前它可对系统造成更加严重威胁,不仅可打开系统后门让黑客更容易连结到用户计算机,拦截IE、QQ,网络游戏等应用程序,造成信息泄密。
    它的特点是:A、如果杀毒软件进程存在,则中止以下进程:
KV
KAV
Duba
NAV
kill
RavMon.exe
Rfw.exe
Gate
McAfee
Symantec
SkyNet
Rising

B、对网络上的计算机的管理员密码,进行弱密码攻击,如果攻击成功的话,则病毒感染这台机器。

C、搜索邮件列表,并试图发电子邮件,电子邮件的附件一般名为:
the hardcore game-.pif
Sex in Office.rm.scr
Deutsch BloodPatch!.exe
s3msong.MP3.pif
Me_nude.AVI.pif
How to Crack all gamez.exe
Macromedia Flash.scr
SETUP.EXE
Shakira.zip.exe
dreamweaver MX (crack).exe
StarWars2 - CloneAttack.rm.scr
Industry Giant II.exe
DSL Modem Uncapper.rar.exe
joke.pif
Britney spears nude.exe.txt.exe
I am For u.doc.exe

D、在所有目录中搜索后缀名为如下的的文件
.htm .sht .php .asp .dbx .tbb .adb .wab
从中找到邮件地址,并用自己的邮件系统发送邮件

E、搜索c-z的硬盘,如果发现可移动设备,进行下列操作:
搜索扩展名为exe的文件,将原文件扩展名改为zmx,同时将病毒自身拷贝到此并和原文件同名.

F、搜索本地邮件客户端,如:Microsoft Outlook等,并回复所有收到的邮件:
如果原信件为:

标题: 原标题
发件人: @
内容: <内容>

蠕虫回复的邮件就为:

标题: Re: 原标题
收件人: @
内容:
'' 写道:
====
> <原信件内容>
>
====

<发件者的邮件服务器> 帐号自动回复:

followed by one of the following:

If you can keep your head when all about you
Are losing theirs and blaming it on you; (后面的省略了)

> Get your FREE account now! <

H,在下列目录中搜索扩展名为.txt, .pl, .wab, .adb, .tbb, .dbx, .asp, .php, .sht, and .htm的文件,并在这些文件中搜索email地址.
%Windir%\Local Settings
\Documents and Settings\\local settings
Temporary Internet Files
21,通过自己的smtp引擎向搜索到的email地址发信,特征为:
发件人: 随机字符

标题:下列之一
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error

内容: 下列之一
pass
Mail failed. For further assistance, please contact!
The message contains Unicode characters and has been sent as a binary attachment.
It's the long-awaited film version of the Broadway hit. The message sent as a binary attachment.

附件: (下列之一)
document
readme
doc
text
file
data
test
message
body

扩展名:
.bat
.exe
.scr
.pif

G、将%Windir%\Media设置为共享目录,名字为Media

H、会监视用户密码,并将监视到的结果保存到
%System%/win32add.sys
%System%/win32pwd.sys
技术特点:

A、木马运行后会将自身复制到系统目录下:
%SystemRoot%\SYSTRA.EXE
%System%\hxdef.exe
%System%\IEXPLORE.EXE
%System%\RAVMOND.exe
%System%\realsched.exe
%System%\vptray.exe
%System%\kernel66.dll
在系统安装目录中生成
%System%\ODBC16.dll
%System%\msjdbc11.dll
%System%\MSSIGN30.DLL
%System%\LMMIB20.DLL
%System%\NetMeeting.exe
%System%\spollsv.exe
%system%\internet.exe
%System%\svch0st.exe
在每个盘符下生成如下两个文件
AUTORUN.INF
COMMAND.EXE
使用户一双击盘符即会中毒

B、在注册表主键:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下添加如下键值:
"WinHelp"="%SYSTEM%"\realsched.exe"
"Hardware Profile" ="%SYSTEM%"\hxdef.exe"
"Mircorsoft NetMeeting Associates, Inc."="NetMeeting.exe"
"Program In Windows"="%system%\IEXPLORE.EXE"
"VFW Encoder/Decoder Settings"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
"Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
"Shell Extension"="%system%\spollsv.exe"

"Network Associates, Inc."="internet.exe"
"S0undMan"="svch0st.exe"
在注册表主键
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\runServices
下添加如下键值:
"SystemTra"="%Windor%\SysTra.EXE"

对于win98/me系统 会对%system%\win.ini文件内添加如下内容:
run=%System%\RAVMOND.exe

C、会创建一个名为 "Windows Management Protocol v.0 (experimental)"和"_reg"的两个服务,服务对应的病毒文件为msjdbc11.dll 和ondll_server。

D、随机开启一个端口,作为后门。

E、收集系统信息,存为C:\NETLOG.TXT,每行均以NETDI做为开头

F、复制自身到所有共享目录中,文件名可能是以下之一:
WinRAR.exe
Internet Explorer.bat
Documents and Settings.txt.exe
Microsoft Office.exe
Windows Media Player.zip.exe
Support Tools.exe
WindowsUpdate.pif
Cain.pif
MSDN.ZIP.pif
autoexec.bat
findpass.exe
client.exe
i386.exe
winhlp32.exe
xcopy.exe
mmc.exe

G、会释放一个名为suchost.exe文件用于将病毒体和EXE文件进行捆绑。互斥量为:I090909!


    请求广大高手及时提供手动解决的办法,谢谢!

地主 发表时间: 04-07-16 11:23

回复: 斯文败类 [lijingxi]   见习版主   登录
看看今天早上的瑞星报告! 瑞星应该有解决办法的吧!

B1层 发表时间: 04-07-16 18:38

回复: 佚名 [iamzhaokun]      登录
中招再说了,船到桥头自然直嘛。

B2层 发表时间: 04-07-18 11:46

回复: 00 [gao31571]   论坛用户   登录
好象说进入安全模式进行杀毒就可以了。
别的就不知道了

B3层 发表时间: 04-07-19 10:45

回复: 阿酷 [coolersky]   论坛用户   登录
本来就是lovegeat的变种,搞得乱七八糟的!
去看看病毒分析报告,傻子都知道怎么清除!

B4层 发表时间: 04-07-19 23:12

回复: aaaaaaaaas [aaaaaaaaas]   论坛用户   登录
网上有专杀工具吧

B5层 发表时间: 04-07-20 08:35

回复: fuck1 [fuck1]   论坛用户   登录
B4层,你好象有点弱智,要是有本事你说说你是怎么做的 啊,看看行为算不算是弱志啊?

B6层 发表时间: 04-07-20 22:04

回复: linux [wish259]   论坛用户   登录
昏,b4的,不知道你知道吗?

B7层 发表时间: 04-07-21 20:05

回复: cici0101 [cici0101]   论坛用户   登录
好经典的病毒啊,有人教我这么编写的吗..............

B8层 发表时间: 04-07-21 22:23

回复: lobam [xx_js]   论坛用户   登录
引用:

                                  金山“翻新”病毒骗局被揭穿

发布日期:2004-07-20

京华时报

  本报讯 (记者张见悦 王雪瑾)7月15日凌晨,刚刚发动“杀毒大战”的金山毒霸很巧合地发布病毒紧急预警,称一个叫“五毒虫”的新病毒来袭,危害性直逼“震荡波”,并嘲笑瑞星等对手对新病毒无能为力。一周过去了,“五毒虫”没有像“震荡波”一样掀起一波严重的毒灾,而金山毒霸自己却被对手瑞星抓住了将旧病毒“翻新”成新病毒欺骗用户的把柄。

  根据金山公司发布的病毒紧急预警:“五毒虫”八面来袭,在毒霸网站制作的专题中,金山称“五毒虫”已有8个变种,其危害类似于曾经肆虐整个互联网的“冲击波”和“震荡波”病毒。对此,在国内反病毒业名声更为响亮的瑞星公司却指出:金山在用旧病毒“翻新”的手法欺骗用户,所谓的“五毒虫”病毒其实就是早在2003年2月就已发现的“爱情后门变种C”(恶邮差)。

  其实金山公司也曾多次就“爱情后门”(“恶邮差”病毒的变种)进行过通报。当时,金山对“恶邮差”系列病毒一直采用(Wrom.Supnot.×××)英文命名。2004年7月13日,金山公司发布普通病毒警报称,发现“恶邮差”变种AH和AJ,分别命名为“恶邮差变种AH”和“恶邮差变种AJ”。

  但是,在2004年7月15日凌晨金山毒霸网站上发布的紧急病毒警报中,“恶邮差变种AJ”就摇身一变,成了所谓的新病毒“五毒虫”变种之一。从技术特性上来看,“五毒虫”病毒通过局域网传播、可大量散发病毒邮件、可通过QQ传播等特性,也正是“爱情后门”病毒/“恶邮差”系列变种的典型特征。

  瑞星认为,金山所谓的“五毒虫”,就是瑞星命名的“爱情后门”、金山曾经命名的“恶邮差”病毒的变种。



B9层 发表时间: 04-07-22 21:35

回复: 咚咚波 [zqbaicai]   论坛用户   登录
这么强大!!!怎么得到病毒样本?

B10层 发表时间: 04-07-22 22:43

回复: 鲁达 [xiaoqing09]   论坛用户   登录
b9,多谢了!

B11层 发表时间: 04-07-24 19:58

论坛: 病毒专区

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号