Worm.Sumom.a    
Worm.Sumom.a


查找更多相关Worm.Sumom.a 的信息
 
时间:[2008-1-5]
病毒别名:
处理时间:
威胁级别:★★
中文名称:
病毒类型:蠕虫
影响系统:Win9x / WinNT
病毒行为:
这是一个蠕虫病毒,病毒是通过MSN,文件共享和CD传播的,病毒具有反调试功能。

1.生成文件:
%System%\formatsys.exe
%System%\serbw.exe
%Windows%\msmbw.exe
\lspt.exe
2.修改注册表起始项,使病毒开机运行:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
HKCU\Microsoft\Windows\CurruntVersion\Run\
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer
键名可能是以下任意一个:
ltwob
serpe
avnort
键值可能是:
%System%\formatsys.exe
%System%\serbw.exe
%Windows%\msmbw.exe

3.建立一个互斥量'-F-u-c-k-'-Y-o-u-',保证只有一个病毒程序在运行。

4.传播方式:
通过MSN传播:
蠕虫会利用之前在根目录下生成文件通过MSN进行传播,可能是以下随机的一个文件名:
Crazy frog gets killed by train!.pif
Annoying crazy frog getting killed.pif
See my lesbian friends.pif
LOL that ur pic!.pif
My new photo!.pif
Me on holiday!.pif
The Cat And The Fan piccy.pif
How a Blonde Eats a Banana...pif
Mona Lisa Wants Her Smile Back.pif
Topless in Mini Skirt! lol.pif
Fat Elvis! lol.pif
Jennifer Lopez.scr

5.通过网络共享传播
病毒会尝试通过网络共享进行传播,可能将病毒复制到以下共享文件夹:
\My Shared Folder
\Program Files\eMule\Incoming
\Documents and Settings\\Shared
病毒复制到以上文件夹时,会使用以下文件名:
Messenger Plus! 3.50.exe
MSN all version polygamy.exe
MSN nudge bomb.exe

6.通过CD Rom传播
病毒会把自己复制到以下位置:
\Documents and Settings\\local Settings\ApplicationData\Microsoft\CD Burning\autorun.exe
这个文件夹保存的文件会被写入CD中。
在相同的文件夹中也会生成"autorun.inf"文件,它可以使以上文件自动运行。在进行光盘刻录其他文件的时候就会把病毒就会刻录入CD中。

7.下载文件
蠕虫会从,保存为"\British National Party.jpg"。每月的1, 7, 10, 19, 25, 26, 30日,显示这个图片。
8.病毒会终止以下进程:
avengine.exe
apvxdwin.exe
atupdater.exe
aupdate.exe
autodown.exe
autotrace.exe
autoupdate.exe
avconsol.exe
avsynmgr.exe
avwupd32.exe
avxquar.exe
bawindo.exe
blackd.exe
ccapp.exe
ccevtmgr.exe
ccproxy.exe
ccpxysvc.exe
cfiaudit.exe
defwatch.exe
drwebupw.exe
escanh95.exe
escanhnt.exe
nisum.exe
firewall.exe
frameworkservice.exe
icssuppnt.exe
icsupp95.exe
luall.exe
lucoms~1.exe
mcagent.exe
mcshield.exe
mcupdate.exe
mcvsescn.exe
mcvsrte.exe
mcvsshld.exe
navapsvc.exe
navapw32.exe
nopdb.exe
nprotect.exe
nupgrade.exe
outpost.exe
pavfires.exe
pavproxy.exe
pavsrv50.exe
rtvscan.exe
rulaunch.exe
savscan.exe
shstat.exe
sndsrvc.exe
symlcsvc.exe
Update.exe
updaterui.exe
vshwin32.exe
vsstat.exe
vstskmgr.exe
cmd.exe
msconfig.exe
msdev.exe

9.反调试,针对一下工具:
peid
petools
reshacker
w32dasm
winhex

10.病毒会尝试删除用户机器上的Worm.Ariss.c病毒.

11.修改host文件,屏蔽用户对以下网站的访问:












securityresponse.symantec.com

symantec.com
sophos.com
mcafee.com
liveupdate.symantecliveupdate.com
ca.com
download.mcafee.com
  • 超声工作站
  • 联想昭阳K42AT7300
  • alcohol.exe
  • 北京市时代中学
  • 巢湖广播电视大学
  • Worm.Sumom.a
    		•
  • 中江电脑城
  • 会声会影
  • 明基电通集团
  • 西安市第六中学
  • 高效SCSI硬盘系统
    		•