四级恶性蠕虫病毒“恶邮差”英文名称Worm.Supnot.78858.c,是蠕虫Supnot的最新变种,且改进了以前版本通过邮件传播方面的性能,手段极其“恶毒”。
“恶邮差”病毒典型破坏行为是能够根据收件箱中的邮件内容自动回复邮件,每封邮件的附件中均携带病毒副本。由于接收者看到的是对已发送邮件的回信,很可能会打开过该邮件导致中招。由此邮件服务器可能会在极短时间内不堪重负而崩溃。病毒运行后会搜索本地目录,通过收件箱中的邮件地址向外发送带毒邮件传播自身。病毒会根据收件箱里面的邮件回复带毒邮件给原始发件人,这时的带毒邮件的主题和内容就跟原始邮件有关。
重量级病毒“恶邮差”最新变种技术分析文档:
病毒名称:Worm.Supnot.78858.c
病毒中文名称:恶邮差
病毒类型:蠕虫
病毒长度:78848
危害级别:中
传播速度:高
技术特征:该病毒是蠕虫Supnot的最新变种,病毒用ASPack压缩,并且改进了以前版本通过邮件传播方面的性能。
病毒运行后会搜索本地文件目录,通过收件箱中的邮件地址向外发送带毒邮件传播自身。
病毒激活后会复制自身到系统目录,文件名可能为winrpc.exe、WinGate.exe、WinRpcsrv.exe、rpcsrv.exe或syshelp.exe。病毒可能还会在系统目录生成1.dll、ily.dll、Task.dll、reg.dll等文件。病毒还会修改注册表中系统启动项和txt文件打开的关联等。
病毒感染Windows95、98、ME的系统后修改win.ini文件,在其winsows节中添加run=rpcsrv.exe。病毒会试图生成木马文件(如1.dll、ily.dll、Task.dll、reg.dll)到系统目录下,会修改注册表,搜寻网络共享目录,监听10168端口,允许黑客在被感染的机器上执行不同的动作。
病毒感染是WindowsNT、2000、XP的系统后会复制到ssrv.exe到系统目录,并修改注册表,启动木马为服务,遍历本地网络,试图登陆其他计算机。
带毒邮件的特征:
可能的附件名:fun.exe、humor.exe、docs.exe、s3msong.exe、midsong.exe、billgt.exe、Card.EXE、SETUP.EXE、searchURL.exe、tamagotxi.exe、hamster.exe、news_doc.exe、PsPGame.exe、joke.exe、images.exe、pics.exe、Roms.exe、Sex.exe、Setup.exe、Source.exe、_SetupB.exe、Pack.exe、LUPdate.exe、Patch.exe、CrkList.exe
病毒会根据收件箱里面的邮件回复带毒邮件给原始发件人,这时的带毒邮件的主题和内容就跟原始邮件有关。此外,病毒还有可能选择以下主题、内容:
可能的主题:Documents、Roms、Pr0n!、Evaluation copy、Help、Beta、Do not release、Last Update、The patch、Cracks!
可能的邮件正文:Send me your comments...; Test this ROM! IT ROCKS!.; Adult content!!! Use with parental advisory.;Test it 30 days for free.;I‘m going crazy... please try to find the bug!.;Send reply if you want to be official beta tester.;This is the pack ;);This is the last cumulative update.; I think all will work fine.; Check our list and mail your requests!
教你手工清除“恶邮差”(Supnot)蠕虫病毒
--作者:网友
--------------------------------------------------------------------------------
1.使用资源管理器查看进程,注意winrpcsrv.exe、winrpc.exe、wingate.exe、syshelp.exe、rpcsrv.exe、iexplore.exe、winVNC.exe….均为病毒(或由病毒生成的后门软件),甚至其它的一切不常见的进程都有可能是,如果不能确定,找一台服务器上的进程来观察(服务器应该不会被感染)。
2.将病毒程序(后门)的进程结束掉,对于不能结束的,可以使用附件中的pskill.exe结束掉(命令格式“pskill 进程名”)。
3. 打开“服务”,在服务列表中将没有“描述”服务进行筛选,查找是否有"Browser Telnet" "Event Thread" "Windows Management Extension"……的服务,依次删掉注册表中的
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesBRWWTELK]
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesprom0n.exe]
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindows Management Extension]
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindow Remote Service]
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun(Run Services]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun(Run Services]……的相关的健值(还有WinVNC的进程,没有记住是什么健值)
4.删掉[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesdll_reg]
[HKEY_CLASSES_ROOTApplicationswinrpc.exe]的健值,
5. 并修改[HKEY_CLASSES_ROOTxtfileshellopencommand]的右侧的默认健值为” %SystemRoot%system32NOTEPAD.EXE %1”,此时,.txt的文件无法正常打开,可以点击文本文件的右键选择其它方式,选择使用Notepad即可。
6.删掉系统system32目录下的以下程序(大部分可执行程序的大小都为78,848字节): winrpcsrv.exe 、 winrpc.exe 、 wingate.exe 、 syshelp.exe 、 rpcsrv.exe 、 iexplore.exe 、 prom0n.exe(注意中间的是数字0) 、 irftpd.exe 、 irftpd.dll 、 iexplore.exe 、 reg.dll 、 task.dll 、 ily.dll 、 Thdstat.exe 、 1.dll 、 winvnc.exe
7. 清空“C:Documents and SettingsDefault User(或Default Uesr..WINNT)Local SettingsTemporary Internet FilesContent.IE5”目录下除了“desktop.ini”的所有文件,该路径下,发现有一些后门软件。
8.关闭所有目录的完全共享!――这是关闭了该程序还可以通过网络感染的途径。
9. 重新启动计算机,观察是否还有类似进程出现,尤其是irftpd.exe,这个程序是由上述第3步的“服务”程序自动生成的。
重量级病毒“恶邮差”最新变种技术分析文档
--------------------------------------------------------------------------------
病毒名称:Worm.Supnot.78858.c
病毒中文名称:恶邮差
病毒类型:蠕虫
病毒长度:78848
危害级别:中
传播速度:高
技术特征:该病毒是蠕虫Supnot的最新变种,病毒用ASPack压缩,并且改进了以前版本通过邮件传播方面的性能。
病毒运行后会搜索本地文件目录,通过收件箱中的邮件地址向外发送带毒邮件传播自身。
病毒激活后会复制自身到系统目录,文件名可能为winrpc.exe、WinGate.exe、WinRpcsrv.exe、rpcsrv.exe或syshelp.exe。病毒可能还会在系统目录生成1.dll、ily.dll、Task.dll、reg.dll等文件。病毒还会修改注册表中系统启动项和txt文件打开的关联等。
病毒感染Windows95、98、ME的系统后修改win.ini文件,在其winsows节中添加run=rpcsrv.exe。病毒会试图生成木马文件(如1.dll、ily.dll、Task.dll、reg.dll)到系统目录下,会修改注册表,搜寻网络共享目录,监听10168端口,允许黑客在被感染的机器上执行不同的动作。
病毒感染是WindowsNT、2000、XP的系统后会复制到ssrv.exe到系统目录,并修改注册表,启动木马为服务,遍历本地网络,试图登陆其他计算机。
带毒邮件的特征:
可能的附件名:
fun.exe
humor.exe
docs.exe
s3msong.exe
midsong.exe
billgt.exe
Card.EXE
SETUP.EXE
searchURL.exe
tamagotxi.exe
hamster.exe
news_doc.exe
PsPGame.exe
joke.exe
images.exe
pics.exe
Roms.exe
Sex.exe
Setup.exe
Source.exe
_SetupB.exe
Pack.exe
LUPdate.exe
Patch.exe
CrkList.exe
病毒会根据收件箱里面的邮件回复带毒邮件给原始发件人,这时的带毒邮件的主题和内容就跟原始邮件有关。此外,病毒还有可能选择以下主题、内容:
可能的主题:
Documents
Roms
Pr0n!
Evaluation copy
Help
Beta
Do not release
Last Update
The patch
Cracks!
可能的邮件正文:
Send me your comments...
Test this ROM! IT ROCKS!.
Adult content!!! Use with parental advisory.
Test it 30 days for free.
I‘m going crazy... please try to find the bug!.
Send reply if you want to be official beta tester.
This is the pack ;)
This is the last cumulative update.
I think all will work fine.
Check our list and mail your requests!
搜狐IT:四级新蠕虫病毒“恶邮差”害人不浅
--------------------------------------------------------------------------------
『搜狐IT』
2月24日夜,金山反病毒监测中心率先截获了传播迅速、极具破坏力的“恶邮差”4级蠕虫病毒。据金山反病毒技术工程师透露,“恶邮差”蠕虫病毒采用了ASPack压缩,是蠕虫Supnot的最新变种,英文全称为Worm.Supnot.78858.c。“恶邮差”蠕虫病毒主要通过电子邮件传播。“恶邮差” 蠕虫病毒最大的危害在于,该病毒会搜索收件箱里的邮件自动回复。这时回复的带毒邮件主题和内容就跟原始邮件有关,附件会重命名及改动文件内容,使得“恶邮差” 蠕虫病毒的传播过程极具迷惑性。 收件人往往误以为是朋友回复的有效邮件而打开附件,病毒邮件数量呈几何级增长,最终致邮件服务器于死地。该病毒通过电子邮件传播的性能,同一般通过邮件传播的蠕虫病毒相比有了极大的改进和提高。
金山毒霸信息安全事业部总经理王峰介绍:“‘恶邮差’蠕虫病毒运行后,会搜索被感染系统的本地文件目录,在系统目录下生成文件名可能是winrpc.exe、WinGate.exe、 WinRpcsrv.exe、rpcsrv.exe或syshelp.exe的文件。同时,通过收件箱中的邮件地址向外发送带毒邮件传播自身。由此引发的连锁反应将使病毒的传播成几何级增长,并直接导致邮件服务器的瘫痪。另外,病毒可能还会在系统目录生成1.dll、ily.dll、Task.dll、reg.dll等木马文件,还会修改注册表中系统启动项和txt文件打开的关联等”。
据了解,“恶邮差”病毒感染的传播过程非常巧妙。如果感染Windows95、98、ME系统后,会修改win.ini文件,在其windows节中添加run=rpcsrv.exe。试图生成木马文件(如1.dll、ily.dll、Task.dll、reg.dll)到系统目录下,同时修改注册表,搜寻网络共享目录,监听10168端口,允许黑客在被感染的机器上执行不同的动作,这时中招主机就成了互联网上一台可以任人宰割的“肉鸡”。如果病毒感染是WindowsNT、2000、XP系统,病毒会复制到ssrv.exe到系统目录,并修改注册表,启动木马服务,遍历本地网络,试图登陆并感染其他计算机。
四级蠕虫病毒“恶邮差”究竟“恶”在哪里?
--------------------------------------------------------------------------------
『金山反病毒资讯网』
4级恶性蠕虫病毒“恶邮差”英文名称Worm.Supnot.78858.c,是蠕虫Supnot的最新变种,且改进了以前版本通过邮件传播方面的性能,手段极其“恶毒”。
“恶邮差”病毒典型破坏行为是能够根据收件箱中的邮件内容自动回复邮件,每封邮件的附件中均携带病毒副本。由于接收者看到的是对已发送邮件的回信,很可能会打开过该邮件导致中招。由此邮件服务器可能会在极短时间内不堪重负而崩溃。病毒运行后会搜索本地目录,通过收件箱中的邮件地址向外发送带毒邮件传播自身。病毒会根据收件箱里面的邮件回复带毒邮件给原始发件人,这时的带毒邮件的主题和内容就跟原始邮件有关。
“恶邮差”病毒激活后会复制自身到系统目录,文件名可能为winrpc.exe、WinGate.exe、WinRpcsrv.exe、rpcsrv.exe或syshelp.exe。“恶邮差”病毒可能还会在系统目录下生成1.dll、ily.dll、Task.dll、reg.dll等木马文件。病毒会在注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun及Runservices下添加系统启动项,还会在注册表的HKEY_CLASSES_ROOTxtfileshellopencommand修改txt文件的文件关联,正常情况下该键值默认值为Notepad %1,感染“恶邮差”后Notepad会被病毒程序替换,造成文本文件不能打开。
如果感染Windows95、98、ME系统,“恶邮差”病毒会修改win.ini文件,在其中windows节中添加run=rpcsrv.exe,以确保病毒程序在每次开机时自动加载。“恶邮差”病毒还会试图生成木马文件(如1.dll、ily.dll、Task.dll、reg.dll)到系统目录(Win9x一般为Windowssystem)下,会修改注册表,搜寻网络共享目录并尝试通过可写的共享目录感染,监听10168端口,允许黑客在被感染的机器上执行不同的动作,这时中招主机就成了互联网中可以任人宰割的“肉鸡”。
如果感染Windows NT、2000、XP系统,“恶邮差”病毒会生成ssrv.exe到系统目录(Win2k/xp为Winntsystem32)下,同时遍历本地网络,试图登陆其他计算机。“恶邮差”病毒会修改注册表。在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices项,增加以下服务BRWWTELK、prom0n.exe、Windows Management Extension、Window Remote Service、dll_reg。
带毒邮件附件为可执行程序,文件名不固定,可能为以下名称:
fun.exe、humor.exe、docs.exe、s3msong.exe、midsong.exe、billgt.exe、Card.EXE、SETUP.EXE、searchURL.exe、tamagotxi.exe、hamster.exe、news_doc.exe、PsPGame.exe、joke.exe、images.exe、pics.exe、Roms.exe、Sex.exe、Setup.exe、Source.exe、_SetupB.exe、Pack.exe、LUPdate.exe、Patch.exe、CrkList.exe。
此外,“恶邮差”病毒还有可能选择以下主题、内容:
可能的主题:Documents、Roms、Pr0n!、Evaluation copy、Help、Beta、Do not release、Last Update、The patch、Cracks!等。
邮件正文可能是:Send me your comments...、 Test this ROM! IT ROCKS!.、 Adult content!!! Use with parental advisory.、 Test it 30 days for free.、 I‘m going crazy... please try to find the bug!.、 Send reply if you want to be official beta tester.、 This is the pack ;)、 This is the last cumulative update.、 I think all will work fine.、 Check our list and mail your requests!。
教你手工清除“恶邮差”(Supnot)蠕虫病毒
--作者:网友
--------------------------------------------------------------------------------
1.使用资源管理器查看进程,注意winrpcsrv.exe、winrpc.exe、wingate.exe、syshelp.exe、rpcsrv.exe、iexplore.exe、winVNC.exe….均为病毒(或由病毒生成的后门软件),甚至其它的一切不常见的进程都有可能是,如果不能确定,找一台服务器上的进程来观察(服务器应该不会被感染)。
2.将病毒程序(后门)的进程结束掉,对于不能结束的,可以使用附件中的pskill.exe结束掉(命令格式“pskill 进程名”)。
3. 打开“服务”,在服务列表中将没有“描述”服务进行筛选,查找是否有"Browser Telnet" "Event Thread" "Windows Management Extension"……的服务,依次删掉注册表中的
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesBRWWTELK]
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesprom0n.exe]
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindows Management Extension]
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindow Remote Service]
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun(Run Services]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun(Run Services]……的相关的健值(还有WinVNC的进程,没有记住是什么健值)
4.删掉[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesdll_reg]
[HKEY_CLASSES_ROOTApplicationswinrpc.exe]的健值,
5. 并修改[HKEY_CLASSES_ROOTxtfileshellopencommand]的右侧的默认健值为” %SystemRoot%system32NOTEPAD.EXE %1”,此时,.txt的文件无法正常打开,可以点击文本文件的右键选择其它方式,选择使用Notepad即可。
6.删掉系统system32目录下的以下程序(大部分可执行程序的大小都为78,848字节): winrpcsrv.exe 、 winrpc.exe 、 wingate.exe 、 syshelp.exe 、 rpcsrv.exe 、 iexplore.exe 、 prom0n.exe(注意中间的是数字0) 、 irftpd.exe 、 irftpd.dll 、 iexplore.exe 、 reg.dll 、 task.dll 、 ily.dll 、 Thdstat.exe 、 1.dll 、 winvnc.exe
7. 清空“C:Documents and SettingsDefault User(或Default Uesr..WINNT)Local SettingsTemporary Internet FilesContent.IE5”目录下除了“desktop.ini”的所有文件,该路径下,发现有一些后门软件。
8.关闭所有目录的完全共享!――这是关闭了该程序还可以通过网络感染的途径。
9. 重新启动计算机,观察是否还有类似进程出现,尤其是irftpd.exe,这个程序是由上述第3步的“服务”程序自动生成的。
