中国DOS联盟

-- 联合DOS 推动DOS 发展DOS --

联盟域名：www.cn-dos.net 论坛域名：www.cn-dos.net/forum
DOS，代表着自由开放与发展，我们努力起来，学习FreeDOS和Linux的自由开放与GNU精神，共同创造和发展美好的自由与GNU GPL世界吧！

游客: 注册 | 登录 | 命令行 | 会员 | 搜索 | 上传 | 帮助 »

中国DOS联盟论坛 » 意见反馈 & 网友交流 » 这个主题附件中有病毒！！！！

tdj
银牌会员

论坛候鸟

积分 1131
发帖 332
注册 2003-11-27
状态离线

『楼主』: 这个主题附件中有病毒！！！！

"大量DOS/WIN3X/WIN95/UNIX软件及操作系统"附件中发现病毒，请哪位版主处理一下！！
http://dos.e-stone.cn/dosbbs/dispbbs.asp?boardID=4&ID=14671&page=1

不得了！！超级密码杀手！！还不错把俺的密码搜集的挺全江民公布“超级密码杀手”X变种分析报告

病毒名称：超级密码杀手（I-Worm/Supkp.x）
病毒别名：爱情后门（LoveGate）
病毒类型：混合型蠕虫病毒
病毒大小：152061字节，53248字节，61440字节，57344字节
传播方式：邮件、局域网共享、感染文件等
危害等级：★★★☆
1、病毒运行后，将复制自身到下列文件：
%SystemDir%\tkbellexe.exe, 152061字节
%SystemDir%\update_ob.exe, 152061字节
%SystemDir%\hxdef.exe, 152061字节
%SystemDir%\ravmond.exe, 152061字节
%SystemDir%\iexplore.exe, 152061字节
%SystemDir%\kernel66.dll, 152061字节
%WinDir%\systra.exe, 152061字节
2、同时释放病毒包含的其他3个模块，分别是：
%SystemDir%\odbc16.dll, 53248字节
%SystemDir%\msjdbc11.dll, 53248字节
%SystemDir%\mssign30.dll, 53248字节
%SystemDir%\lmmib20.dll, 53248字节
%SystemDir%\netmeeting.exe, 61440字节
%SystemDir%\spollsv.exe, 61440字节
%WinDir%\svchost.exe, 57344字节
3、在硬盘根目录创建自动播放配置程序和病毒自身，这样在打开硬盘时，病毒就会启动
c:\command.exe, 152061字节
c:\autorun.inf, 49字节
…
4、在本地创建一个FTP服务程序，端口号是随机数，如5012，可以通过让病毒通过漏洞传播。其中生成%SystemDir%\a大小约为56字节，是FTP的脚本。通过FTP服务，可以传播hxdef.exe（病毒自身）到包含漏洞的电脑上。
5、搜索局域网的共享资源，在共享文件夹中释放病毒本身或压缩包形式的复制品。
6、在注册表中添加多个启动项，如下：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinHelp" = %SystemDir%\tkbellexe.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Hardware Profile" = %SystemDir%\hxdef.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VFW Encoder/Decoder Settings" = rundll32.exe mssign30.dll ondll_reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft NetMeeting Associates, Inc." = netmeeting.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Program In Windows" = %SystemDir%\iexplore.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Shell Extension" = %SystemDir%\spollsv.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Protected Storage" = rundll32.exe mssign30.dll ondll_reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\runServices]
"SystemTra" = %WinDir%\systra.exe
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"run" = ravmond.exe；
7、病毒会感染当前文件夹中的文件。感染后文件长度增加209413字节；
8、共享%WinDir%\Media文件夹，共享文件夹名是Media；
9、修改文本文件关联，这样打开文件文件的时候，病毒就会得到运行；
[HKEY_CLASSES_ROOT\txtfile\shell\open\command]
"" = update_ob.exe %1；
10、在病毒运行的文件夹中，会生成临时文件results.txt和win2k.txt（或winxp.txt）；
11、扫描附近的电脑是否存在漏洞和弱口令，一旦发现就试图感染它。弱口令表如下：
Guest
Administrator
zxcv
yxcv
xxx
xp
win
test123
test
temp123
temp
sybase
super
sex
secret
pwd
pw123
pw
pc
Password
owner
oracle
mypc123
mypc
mypass123
mypass
love
login
Login
Internet
home
godblessyou
god
enable
database
computer
alpha
admin123
Admin
abcd
aaa
a
88888888
2600
2004
2003
123asd
123abc
123456789
1234567
123123
121212
12
11111111
110
007
00000000
000000
0
pass
54321
12345
password
passwd
server
sql
!@#$%^&*
!@#$%^&
!@#$%^
!@#$%
asdfgh
asdf
!@#$
1234
111
1
root
abc123
12345678
abcdefg
abcdef
abc
888888
666666
111111
admin
administrator
guest
654321
123456
321
123
12、可以通过OutLook和自身内置的SMTP程序发送带毒邮件。通过OutLook发送的邮件是直接回复邮箱中已有的信件，欺骗性较高。通过自带的SMTP程序发现邮件的附件名可能是：
the hardcore game-.pif
Sex in Office.rm.scr
Deutsch BloodPatch!.exe
s3msong.MP3.pif
Me_nude.AVI.pif
How to Crack all gamez.exe
Macromedia Flash.scr
SETUP.EXE
Shakira.zip.exe
dreamweaver MX (crack).exe
StarWars2 - CloneAttack.rm.scr
Industry Giant II.exe
DSL Modem Uncapper.rar.exe
joke.pif
Britney spears nude.exe.txt.exe
I am For u.doc.exe
13、通过将自身复制到KaZaA的共享文件夹，可以通过P2P软件进行传播。共享的文件名是wrar320sc、REALONE、BlackIcePCPSetup_creak、Passware5.3、word_pass_creak、HEROSOFT、orcard_original_creak、rainbowcrack-1.1-win、W32Dasm、setup等，文件的扩展名可能是.exe、.src、.bat、.pif；
14、可以终止目前国内销售的大部分杀毒软件和防火墙，包括江民、毒霸、瑞星、天网、诺顿、KILL、McAfee等；
15、将收集的密码等信息保存在C:\NetLog.txt中，发送给病毒在作者hello_zyx@163.com；
16、搜索所有的移动硬盘（包括U盘等）和映射驱动器（SUBST），将其中的.EXE文件的扩展名修改为.zmx，并设置为隐藏和系统属性，然后将病毒自身取代原文件。
针对此病毒，江民科技请您紧急升级到7月3日病毒库，开启KV的实时监控功能，即可全面查杀该病毒，使你不受病毒侵扰。更多资料，请登陆江民反病毒资讯网：http://www.jiangmin.com 查询。

[此贴子已经被作者于2004-12-20 0:05:40编辑过]

2004-12-19 00:00

jpcen05
初级用户

积分 163
发帖 23
注册 2004-11-8
状态离线

『第 2 楼』:

我的诺顿也发现有毒!!!!!!!!!!!

2004-12-25 00:00

请注意：您目前尚未注册或登录，请您注册或登录以使用论坛的各项功能，例如发表和回复帖子等。

可打印版本 | 推荐给朋友 | 订阅主题 | 收藏主题

论坛跳转: