“恶邮差”病毒,四级恶性蠕虫病毒“恶邮差”英文名称Worm.Supnot.78858.c,是蠕虫Supnot的最新变种,且改进了以前版本通过邮件传播方面的性能,手段极其“恶毒”。
基本介绍
- 中文名“恶邮差”病毒
- 外文名Worm.Supnot.78858.c
- 属性网路病毒
- 性质四级恶性蠕虫病毒
- 主要传播方式邮件
- 危害级别中
综述
发现
2月24日夜,金山反病毒监测中心率先截获了传播迅速、极具破坏力的“恶邮差”4级蠕虫病毒。据金山反病毒技术工程师透露,“恶邮差”蠕虫病毒採用了ASPack压缩,是蠕虫Supnot的最新变种,英文全称为Wrom.Supnot.78858.c。“恶邮差”蠕虫病毒主要是通过电子邮件传播的。
危害性
“恶邮差”病毒典型破坏行为是能够根据收件箱中的邮件内容自动回复邮件,每封邮件的附属档案中均携带病毒副本。由于接收者看到的是对已传送邮件的回信,很可能会打开过该邮件导致中招。由此邮件伺服器可能会在极短时间内不堪重负而崩溃。病毒运行后会搜寻本地目录,通过收件箱中的邮件地址向外传送带毒邮件传播自身。病毒会根据收件箱里面的邮件回复带毒邮件给原始发件人,这时的带毒邮件的主题和内容就跟原始邮件有关。
参数
重量级病毒“恶邮差”最新变种技术分析文档
病毒名称Worm.Supnot.78858.c
病毒中文名称恶邮差
病毒类型蠕虫
病毒长度78848
危害级别中
传播速度高
技术特徵
该病毒是蠕虫Supnot的最新变种,病毒用ASPack压缩,并且改进了以前版本通过邮件传播方面的性能。
病毒运行后会搜寻本地档案目录,通过收件箱中的邮件地址向外传送带毒邮件传播自身。
病毒激活后会複製自身到系统目录,档案名称可能为winrpc.exe、WinGate.exe、WinRpcsrv.exe、rpcsrv.exe或syshelp.exe。病毒可能还会在系统目录生成1.dll、ily.dll、Task.dll、reg.dll等档案。病毒还会修改注册表中系统启动项和txt档案打开的关联等。
病毒感染Windows95、98、ME的系统后修改win.ini档案,在其winsows节中添加run=rpcsrv.exe。病毒会试图生成木马档案(如1.dll、ily.dll、Task.dll、reg.dll)到系统目录下,会修改注册表,搜寻网路已分享资料夹,监听10168连线埠,允许黑客在被感染的机器上执行不同的动作。
病毒感染是WindowsNT、2000、XP的系统后会複製到ssrv.exe到系统目录,并修改注册表,启动木马为服务,遍曆本地网路,试图登入其他计算机。
带毒邮件的特徵
可能的附属档案名fun.exe、humor.exe、docs.exe、s3msong.exe、midsong.exe、billgt.exe、Card.EXE、SETUP.EXE、searchURL.exe、tamagotxi.exe、hamster.exe、news_doc.exe、PsPGame.exe、joke.exe、images.exe、pics.exe、Roms.exe、Sex.exe、Setup.exe、Source.exe、_SetupB.exe、Pack.exe、LUPdate.exe、Patch.exe、CrkList.exe
病毒将会根据收件箱里面的邮件回复带毒的邮件给原始发件人,这时带毒邮件的主题和内容就跟原始邮件有关了。,病毒还有可能选择以下主题、内容
可能的邮件正文
Send me your comments...; Test this ROM! IT ROCKS!.; Adult content!!! Use with parental advisory.;Test it 30 days for free.;I‘m going crazy... please try to find the bug!.;Send reply if you want to be official beta tester.;This is the pack ;);This is the last cumulative update.; I think all will work fine.; Check our list and mail your requests!
手工清毒
--作者网友
--------------------------------------------------------------------------------
1.使用资源管理器查看进程,注意winrpcsrv.exe、winrpc.exe、wingate.exe、syshelp.exe、rpcsrv.exe、iexplore.exe、winVNC.exe….均为病毒(或由病毒生成的后门软体),甚至其它的一切不常见的进程都有可能是,如果不能确定,找一台伺服器上的进程来观察(伺服器应该不会被感染)。
2.将病毒程式(后门)的进程结束掉,对于不能结束的,可以使用附属档案中的pskill.exe结束掉(命令格式“pskill 进程名”)。
3. 打开“服务”,在服务列表中将没有“描述”服务进行筛选,查找是否有"Browser Telnet" "Event Thread" "Windows Management Extension"……的服务,依次删掉注册表中的
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BRWWTELK]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\prom0n.exe]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Management Extension]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Window Remote Service]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run(Run Services]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run(Run Services]……的相关的健值(还有WinVNC的进程,没有记住是什幺健值)
4.删掉[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dll_reg]
[HKEY_CLASSES_ROOT\Applications\winrpc.exe]的健值,
5. 并修改[HKEY_CLASSES_ROOT\txtfile\shell\open\command]的右侧的默认健值为” %SystemRoot%\system32\NOTEPAD.EXE %1”,此时,.txt的档案无法正常打开,可以点击文本档案的右键选择其它方式,选择使用Notepad即可。
6.删掉系统system32目录下的以下程式(大部分可执行程式的大小都为78,848位元组) winrpcsrv.exe 、 winrpc.exe 、wingate.exe、 syshelp.exe 、 rpcsrv.exe 、 iexplore.exe 、 prom0n.exe(注意中间的是数字0) 、 irftpd.exe 、 irftpd.dll 、 iexplore.exe 、 reg.dll 、 task.dll 、 ily.dll 、 Thdstat.exe 、 1.dll 、winvnc.exe
7. 清空“C:\Documents and Settings\Default User(或Default Uesr..WINNT)\Local Settings\Temporary Internet Files\Content IE5”目录下除了“desktop.ini”的所有档案,该路径下,发现有一些后门软体。
8.关闭所有目录的完全共享!――这是关闭了该程式还可以通过网路感染的途径。
9. 重新启动计算机,观察是否还有类似进程出现,尤其是irftpd.exe,这个程式是由上述第3步的“服务”程式自动生成的。
重量级病毒“恶邮差”最新变种技术分析文档
注意事项
1、确保主机安装有防毒软体
2、把防毒软体病毒库更新到最新
3、使用辅助工具扫描系统,例如360安全卫士、windows清理助手
5、下载专杀工具查杀病毒
6、收到可疑邮件不要打开
7、平时养成良好的使用习惯,勤防毒,不要随便打开来历不明的网站
相关报导
搜狐IT
“恶邮差”蠕虫病毒採用ASPack压缩,是蠕虫Supnot的变种,英文全称为Worm.Supnot.78858.c。“恶邮差”蠕虫病毒主要通过电子邮件传播。“恶邮差”蠕虫病毒最大的危害在于,该病毒会搜寻收件箱里的邮件自动回复。这时回复的带毒邮件主题和内容就跟原始邮件有关,附属档案会重命名及改动档案内容,使得“恶邮差”蠕虫病毒的传播过程极具迷惑性。 收件人往往误以为是朋友回复的有效邮件而打开附属档案,病毒邮件数量呈几何级增长,最终致邮件伺服器于死地。该病毒通过电子邮件传播的性能,同一般通过邮件传播的蠕虫病毒相比有了极大的改进和提高。
金山毒霸信息安全事业部总经理王峰介绍“‘恶邮差’蠕虫病毒运行后,会搜寻被感染系统的本地档案目录,在系统目录下生成档案名称可能是winrpc.exe、WinGate.exe、 WinRpcsrv.exe、rpcsrv.exe或syshelp.exe的档案。,通过收件箱中的邮件地址向外传送带毒邮件传播自身。由此引发的连锁反应将使病毒的传播成几何级增长,并直接导致邮件伺服器的瘫痪。,病毒可能还会在系统目录生成1.dll、ily.dll、Task.dll、reg.dll等木马档案,还会修改注册表中系统启动项和txt档案打开的关联等”。
据了解,“恶邮差”病毒感染的传播过程非常巧妙。如果感染Windows95、98、ME系统后,会修改win.ini档案,在其windows节中添加run=rpcsrv.exe。试图生成木马档案(如1.dll、ily.dll、Task.dll、reg.dll)到系统目录下,修改注册表,搜寻网路已分享资料夹,监听10168连线埠,允许黑客在被感染的机器上执行不同的动作,这时中招主机就成了网际网路上一台可以任人宰割的“肉鸡”。如果病毒感染是WindowsNT、2000、XP系统,病毒会複製到ssrv.exe到系统目录,并修改注册表,启动木马服务,遍曆本地网路,试图登入并感染其他计算机。
金山病毒
“恶邮差”病毒激活后会複製自身到系统目录,档案名称可能为winrpc.exe、WinGate.exe、WinRpcsrv.exe、rpcsrv.exe或syshelp.exe。“恶邮差”病毒可能还会在系统目录下生成1.dll、ily.dll、Task.dll、reg.dll等木马档案。病毒会在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run及Runservices下添加系统启动项,还会在注册表的HKEY_CLASSES_ROOT\txtfile\shell\open\command修改txt档案的档案关联,正常情况下该键值默认值为Notepad %1,感染“恶邮差”后Notepad会被病毒程式替换,造成文本档案不能打开。
如果感染Windows95、98、ME系统,“恶邮差”病毒会修改win.ini档案,在其中windows节中添加run=rpcsrv.exe,以确保病毒程式在每次开机时自动载入。“恶邮差”病毒还会试图生成木马档案(如1.dll、ily.dll、Task.dll、reg.dll)到系统目录(Win9x一般为Windows\system)下,会修改注册表,搜寻网路已分享资料夹并尝试通过可写的已分享资料夹感染,监听10168连线埠,允许黑客在被感染的机器上执行不同的动作,这时中招主机就成了网际网路中可以任人宰割的“肉鸡”。
如果感染Windows NT、2000、XP系统,“恶邮差”病毒会生成ssrv.exe到系统目录(Win2k/xp为Winnt\system32)下,遍曆本地网路,试图登入其他计算机。“恶邮差”病毒会修改注册表。在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services项,增加以下服务BRWWTELK、prom0n.exe、Windows Management Extension、Window Remote Service、dll_reg。
带毒邮件附属档案为可执行程式,档案名称不固定,可能为以下名称
fun.exe、humor.exe、docs.exe、s3msong.exe、midsong.exe、billgt.exe、Card.EXE、SETUP.EXE、searchURL.exe、tamagotxi.exe、hamster.exe、news_doc.exe、PsPGame.exe、joke.exe、images.exe、pics.exe、Roms.exe、Sex.exe、Setup.exe、Source.exe、_SetupB.exe、Pack.exe、LUPdate.exe、Patch.exe、CrkList.exe。
,“恶邮差”病毒还有可能选择以下主题、内容
可能的主题Documents、Roms、Pr0n!、Evaluation copy、Help、Beta、Do not release、Last Update、The patch、Cracks!等。
邮件正文可能是Send me your comments...、 Test this ROM! IT ROCKS!.、 Adult content!!! Use with parental advisory.、 Test it 30 days for free.、 I‘m going crazy... please try to find the bug!.、 Send reply if you want to be official beta tester.、 This is the pack ;)、 This is the last cumulative update.、 I think all will work fine.、 Check our list and mail your requests!。