"恶邮差"病毒,四级恶性蠕虫病毒"恶邮差"英文名称Worm.Supnot.78858.c,是蠕虫Supnot的最新变种,且改送妈酒目继明讲言进了以前版本通过邮件传播方面的性能,手段极其"恶毒"。
发现
2月24日夜,金山反病毒监测中心率先截获了传播迅速、极具破坏力的"恶邮差"4级蠕虫病毒。据金山反病毒技术工程师透露,"恶邮差"蠕虫病毒采用了ASPack压缩,是蠕虫Supnot的最新变来自种,英文全称为Wrom.Supnot.78858.c。"恶邮差"蠕虫病毒主要是通过电子邮件传播的。
危360百科害性
"恶邮差"病毒典型破坏行为是能够根据收件箱中的邮件内容自动回复邮件,每封邮件的附件中制均携带病毒副本。由于接收者看到宣换行短既船字球首重呼的是对已发送邮件的回信,很可能会打开过该邮件导致中招。由此邮件服务器可能会在极短时间内不堪重负而崩溃。病毒运行后会搜索本地目录,通过收件箱中的邮件地址向外发送带电毒邮件传播自身。病毒会根据收件箱里面的邮件回复带毒邮件给原始发件人,四聚区欢因高他这时的带毒邮件的主题和内容就跟原始邮件有关。
参数
重量级病毒"恶邮乙表活笔游班早微差"最新变种技术分析文档:
病毒名称:Worm.Supnot.78858.c
病毒中文名称:恶邮差
病毒类型:蠕虫
病毒长度:78848
危害级别:中
传播速度:高
技术特征
该病毒是受期照刻度须采意开封错蠕虫Supnot的最新变种,病毒用ASPack压缩,并且改进了以前版本通过邮件传播方面的性能。
病毒运行后会搜索本地文件目录,通过收件箱中的邮件地址向外发送带毒邮件传播自身。
病毒激活后会复制自身到系统目录,文件名可能为winrpc.exe、WinGate.exe、WinRpcsrv.exe、rpcsrv.exe或syshelp.exe。病毒可能还会在系统目录生成1.dll、ily.dll、Task.dll、reg.dll等文件。病毒还般纸会修改注册表中系统启动项和txt文件打开的关联等。
病毒感染Windows95、98、ME的系统后修改win.ini文件,在其winsows节中添加run=rpcsrv.exe。病毒会试图生成木马大充剂长艺著台质文件(如1.dll、ily.dll、Task.dll、reg.dll)到载系统目录下,会修改注册表,降束吸注搜寻网络共享目录,监听满易击失们岩冷领10168端口,述持提电回允许黑客在被感染的机器上执行不同的动作。
病毒感染是WindowsNT、2000、XP的系统后会复制到ssrv.exe到系统目录,并修改注册表息旧富探古汉言被,启动木马为服务,遍历本地网络,试图登陆其他计算机。
带毒邮件的特征
可能的附件名:fun.exe、humor.exe、docs.exe、s3msong.exe、midsong.exe、billgt.exe、协比威四百它端劳说威员Card.EXE、SETUP.EXE、searchURL.exe、tamagotxi.exe、hamster.exe、news_doc.exe、PsPGame.exe、joke.exe、images.exe、pics.exe、Roms.exe、Sex.exe、Setup.exe、Source.exe、_SetupB.exe、Pack.exe、LUPdate.exe、Patch.exe、CrkList.exe
病毒将会根据收件箱里面的龙外降艺要邮件回复带毒的邮件给原始发件人,这时带毒邮件的派强计主题和内容就跟原始邮件有关了。此外,病毒还有可能选择以下主题、内容:
输 可能的邮件正文
Send me your comments...; Test this ROM! IT 校怕妒ROCKS!.; Adult content!!! Use with parental advisory.;Test it 30 days for free.;I'm going crazy... please try to find the bug!.;Send reply if you want to be official beta tester.;This is the pack ;);This is the last cumulative update.; I think all will work fine.; Check our list and mail your requests!
手工清毒
--作者:网友
--------------------------------------------------------------------------------
1.使用资源管理器查看进程,注意winrpcsrv.exe、winrpc.exe、wingate.exe、syshelp.exe、rpcsrv.exe、iexplore.exe、winVNC.exe….均为病毒(或由病毒生成的后门软件),甚至其它的一切不常见的进程都有可能是,如果不能确定,找一台服务器上的进程来观察(服务器应该不会被感染)。
2.将病毒程序(后门)的进程结束掉,对于不能结束的,可以使用附件中的pskill.exe结束掉(命令格式"pskill 进程名")。
3. 打开"服务",在服务列表中将没有"描述"服务进行筛选,查找是否有"Browser Telnet" "Event Thread" "Windows Management Extension"……的服务,依次删掉注册表中的
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BRWWTELK]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\prom0n.exe]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Management Extension]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Window Remote Service]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run(Run Services]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run(Run Services]……的相关的健值(还有WinVNC的进程,没有记住是什么健值)
4.删掉[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dll_reg]
[HKEY_CLASSES_ROOT\Applications\winrpc.exe]的健值,
5. 并修改[HKEY_CLASSES_ROOT\txtfile\shell\open\command]的右侧的默认健值为" %SystemRoot%\system32\NOTEPAD.EXE %1",此时,.txt的文件无法正常打开,可以点击文本文件的右键选择其它方式,选择使用Notepad即可。
6.删掉系统system32目录下的以下程序(大部分可执行程序的大小都为78,848字节): winrpcsrv.exe 、 winrpc.exe 、wingate.exe、 syshelp.exe 、 rpcsrv.exe 、 iexplore.exe 、 prom0n.exe(注意中间的是数字0) 、 irftpd.exe 、 irftpd.dll 、 iexplore.exe 、 reg.dll 、 task.dll 、 ily.dll 、 Thdstat.exe 、 1.dll 、winvnc.exe
7. 清空"C:\Documents and Settings\Default User(或Default Uesr..WINNT)\Local Settings\Temporary Internet Files\Content IE5"目录下除了"desktop.ini"的所有文件,该路径下,发现有一些后门软件。
8.关闭所有目录的完全共享!――这是关闭了该程序还可以通过网络感染的途径。
9. 重新启动计算机,观察是否还有类似进程出现,尤其是irftpd.exe,这个程序是由上述第3步的"服务"程序自动生成的。
重量级病毒"恶邮差"最新变种技术分析文档
注意事项
1、确保主机安装有杀毒软件
2、把杀毒软件病毒库更新到最新
3、使用辅助工具扫描系统,例如360安全卫士、windows清理助手
5、下载专杀工具查杀病毒
6、收到可疑邮件不要打开
7、平时养成良好的使用习惯,勤杀毒,不要随便打开来历不明的网站
搜狐IT
"恶邮差"蠕虫病毒采用ASPack压缩,是蠕虫Supnot的变种,英文全称为Worm.Supnot.78858.c。"恶邮差"蠕虫病毒主要通过电子邮件传播。"恶邮差"蠕虫病毒最大的危害在于,该病毒会搜索收件箱里的邮件自动回复。这时回复的带毒邮件主题和内容就跟原始邮件有关,附件会重命名及改动文件内容,使得"恶邮差"蠕虫病毒的传播过程极具迷惑性。 收件人往往误以为是朋友回复的有效邮件而打开附件,病毒邮件数量呈几何级增长,最终致邮件服务器于死地。该病毒通过电子邮件传播的性能,同一般通过邮件传播的蠕虫病毒相比有了极大的改进和提高。
金山毒霸信息安全事业部总经理王峰介绍:"'恶邮差'蠕虫病毒运行后,会搜索被感染系统的本地文件目录,在系统目录下生成文件名可能是winrpc.exe、WinGate.exe、 WinRpcsrv.exe、rpcsrv.exe或syshelp.exe的文件。同时,通过收件箱中的邮件地址向外发送带毒邮件传播自身。由此引发的连锁反应将使病毒的传播成几何级增长,并直接导致邮件服务器的瘫痪。另外,病毒可能还会在系统目录生成1.dll、ily.dll、Task.dll、reg.dll等木马文件,还会修改注册表中系统启动项和txt文件打开的关联等"。
据了解,"恶邮差"病毒感染的传播过程非常巧妙。如果感染Windows95、98、ME系统后,会修改win.ini文件,在其windows节中添加run=rpcsrv.exe。试图生成木马文件(如1.dll、ily.dll、Task.dll、reg.dll)到系统目录下,同时修改注册表,搜寻网络共享目录,监听10168端口,允许黑客在被感染的机器上执行不同的动作,这时中招主机就成了互联网上一台可以任人宰割的"肉鸡"。如果病毒感染是WindowsNT、2000、XP系统,病毒会复制到ssrv.exe到系统目录,并修改注册表,启动木马服务,遍历本地网络,试图登陆并感染其他计算机。
金山病毒
"恶邮差"病毒激活后会复制自身到系统目录,文件名可能为winrpc.exe、WinGate.exe、WinRpcsrv.exe、rpcsrv.exe或syshelp.exe。"恶邮差"病毒可能还会在系统目录下生成1.dll、ily.dll、Task.dll、reg.dll等木马文件。病毒会在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run及Runservices下添加系统启动项,还会在注册表的HKEY_CLASSES_ROOT\txtfile\shell\open\command修改txt文件的文件关联,正常情况下该键值默认值为Notepad %1,感染"恶邮差"后Notepad会被病毒程序替换,造成文本文件不能打开。
如果感染Windows95、98、ME系统,"恶邮差"病毒会修改win.ini文件,在其中windows节中添加run=rpcsrv.exe,以确保病毒程序在每次开机时自动加载。"恶邮差"病毒还会试图生成木马文件(如1.dll、ily.dll、Task.dll、reg.dll)到系统目录(Win9x一般为Windows\system)下,会修改注册表,搜寻网络共享目录并尝试通过可写的共享目录感染,监听10168端口,允许黑客在被感染的机器上执行不同的动作,这时中招主机就成了互联网中可以任人宰割的"肉鸡"。
如果感染Windows NT、2000、XP系统,"恶邮差"病毒会生成ssrv.exe到系统目录(Win2k/xp为Winnt\system32)下,同时遍历本地网络,试图登陆其他计算机。"恶邮差"病毒会修改注册表。在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services项,增加以下服务BRWWTELK、prom0n.exe、Windows Management Extension、Window Remote Service、dll_reg。
带毒邮件附件为可执行程序,文件名不固定,可能为以下名称:
fun.exe、humor.exe、docs.exe、s3msong.exe、midsong.exe、billgt.exe、Card.EXE、SETUP.EXE、searchURL.exe、tamagotxi.exe、hamster.exe、news_doc.exe、PsPGame.exe、joke.exe、images.exe、pics.exe、Roms.exe、Sex.exe、Setup.exe、Source.exe、_SetupB.exe、Pack.exe、LUPdate.exe、Patch.exe、CrkList.exe。
此外,"恶邮差"病毒还有可能选择以下主题、内容:
可能的主题:Documents、Roms、Pr0n!、Evaluation copy、Help、Beta、Do not release、Last Update、The patch、Cracks!等。
邮件正文可能是:Send me your comments...、 Test this ROM! IT ROCKS!.、 Adult content!!! Use with parental advisory.、 Test it 30 days for free.、 I'm going crazy... please try to find the bug!.、 Send reply if you want to be official beta tester.、 This is the pack ;)、 This is the last cumulative update.、 I think all will work fine.、 Check our list and mail your requests!。
关注微信