技术特征:该病毒是蠕虫Supnot的最新变种,病毒用ASPack压缩,并且改进了以前版本通过邮件传播方面的性能。
病毒名称:Worm.Supnot.78858.c
病毒类型:蠕虫
病毒长度:78848
危害级别:中
传播速度:高
病毒运行后会搜索本地文件目录,通过收件箱中的邮件地址向外发送带毒邮件传播自身。
病毒激活后会复制自身到系统目录,文件名可能为winrpc.exe、WinGate.exe、WinRpcsrv.exe、rpcsrv.exe或syshelp.exe。病毒可能还会在系统目录生成1.dll、ily.dll、Task.dll、reg.dll等文件。病毒还会修改注册表中系统启动项和txt文件打开的关联等。
病毒感染Windows95、98、ME的系统后修改win.ini文件,在其winsows节中添加run=rpcsrv.exe。病毒会试图生成木马文件(如1.dll、ily.dll、Task.dll、reg.dll)到系统目录下,会修改注册表,搜寻网络共享目录,监听10168端口,允许黑客在被感染的机器上执行不同的动作。
病毒感染是WindowsNT、2000、XP的系统后会复制到ssrv.exe到系统目录,并修改注册表,启动木马为服务,遍历本地网络,试图登陆其他计算机。
带毒邮件的特征:
可能的附件名:
fun.exe
humor.exe
docs.exe
s3msong.exe
midsong.exe
billgt.exe
Card.EXE
SETUP.EXE
searchURL.exe
tamagotxi.exe
hamster.exe
news_doc.exe
PsPGame.exe
joke.exe
images.exe
pics.exe
Roms.exe
Sex.exe
Setup.exe
Source.exe
_SetupB.exe
Pack.exe
LUPdate.exe
Patch.exe
CrkList.exe
病毒会根据收件箱里面的邮件回复带毒邮件给原始发件人,这时的带毒邮件的主题和内容就跟原始邮件有关。此外,病毒还有可能选择以下主题、内容:
可能的主题:
Documents
Roms
Pr0n!
Evaluation copy
Help
Beta
Do not release
Last Update
The patch
Cracks!
可能的邮件正文:
Send me your comments...
Test this ROM! IT ROCKS!.
Adult content!!! Use with parental advisory.
Test it 30 days for free.
I‘m going crazy... please try to find the bug!.
Send reply if you want to be official beta tester.
This is the pack ;)
This is the last cumulative update.
I think all will work fine.
Check our list and mail your requests!