“恶邮差”病毒.doc

“恶邮差”病毒 　　四级恶性蠕虫病毒“恶邮差”英文名称Worm.Supnot.78858.c，是蠕虫Supnot的必威体育精装版变种，且改进了以前版本通过邮件传播方面的性能，手段极其“恶毒”。 　　“恶邮差”病毒典型破坏行为是能够根据收件箱中的邮件内容自动回复邮件，每封邮件的附件中均携带病毒副本。由于接收者看到的是对已发送邮件的回信，很可能会打开过该邮件导致中招。由此邮件服务器可能会在极短时间内不堪重负而崩溃。病毒运行后会有哪些信誉好的足球投注网站本地目录，通过收件箱中的邮件地址向外发送带毒邮件传播自身。病毒会根据收件箱里面的邮件回复带毒邮件给原始发件人，这时的带毒邮件的主题和内容就跟原始邮件有关。 　　重量级病毒“恶邮差”必威体育精装版变种技术分析文档： 　　病毒名称：Worm.Supnot.78858.c 　　病毒中文名称：恶邮差 　　病毒类型：蠕虫 　　病毒长度：78848 　　危害级别：中 　　传播速度：高 　　技术特征：该病毒是蠕虫Supnot的必威体育精装版变种，病毒用ASPack压缩，并且改进了以前版本通过邮件传播方面的性能。 　　病毒运行后会有哪些信誉好的足球投注网站本地文件目录，通过收件箱中的邮件地址向外发送带毒邮件传播自身。 　　病毒激活后会复制自身到系统目录，文件名可能为winrpc.exe、WinGate.exe、WinRpcsrv.exe、rpcsrv.exe或syshelp.exe。病毒可能还会在系统目录生成1.dll、ily.dll、Task.dll、reg.dll等文件。病毒还会修改注册表中系统启动项和txt文件打开的关联等。 　　病毒感染Windows95、98、ME的系统后修改win.ini文件，在其winsows节中添加run=rpcsrv.exe。病毒会试图生成木马文件（如1.dll、ily.dll、Task.dll、reg.dll）到系统目录下，会修改注册表，搜寻网络共享目录，监听10168端口，允许黑客在被感染的机器上执行不同的动作。 　　病毒感染是WindowsNT、2000、XP的系统后会复制到ssrv.exe到系统目录，并修改注册表，启动木马为服务，遍历本地网络，试图登陆其他计算机。 　　带毒邮件的特征： 　　可能的附件名：fun.exe、humor.exe、docs.exe、s3msong.exe、midsong.exe、billgt.exe、Card.EXE、SETUP.EXE、searchURL.exe、tamagotxi.exe、hamster.exe、news_doc.exe、PsPGame.exe、joke.exe、images.exe、pics.exe、Roms.exe、Sex.exe、Setup.exe、Source.exe、_SetupB.exe、Pack.exe、LUPdate.exe、Patch.exe、CrkList.exe 　　病毒会根据收件箱里面的邮件回复带毒邮件给原始发件人，这时的带毒邮件的主题和内容就跟原始邮件有关。此外，病毒还有可能选择以下主题、内容： 　　可能的主题：Documents、Roms、Pr0n!、Evaluation copy、Help、Beta、Do not release、Last Update、The patch、Cracks! 　　可能的邮件正文：Send me your comments...； Test this ROM! IT ROCKS!.； Adult content!!! Use with parental advisory.；Test it 30 days for free.；I‘m going crazy... please try to find the bug!.；Send reply if you want to be official beta tester.；This is the pack ;)；This is the last cumulative update.； I think all will work fine.； Check our list and mail your requests! 　　教你手工清除“恶邮差”（Supnot）蠕虫病毒 　　--作者：网友 　　-------------------------------------------------------------------------------- 　　1．使用资源管理器查看进程，注意winrpcsrv.exe、winrpc.exe、wingate.exe、syshelp.exe、rpcsrv.exe、iexplore.exe、winVNC.exe….均为病毒（或由病毒生成的后门软件），甚至其它的一切不常见的进程都有可能是，如果不能确定