“惡郵差”變種U病毒

“惡郵差”變種U病毒,病毒名稱: Worm.Supnot.u,威脅級別: 3A,病毒別名: 別名[瑞星],密碼殺手 [江民],病毒類型: 蠕蟲、後門。

病毒信息:

病毒名稱: Worm.Supnot.u

中文名稱: 惡郵差變種U

威脅級別: 3A

病毒別名: 別名[瑞星]

密碼殺手 [江民]

病毒類型: 蠕蟲、後門

受影響系統:Win9x/Win2000/Winnt/WinXP/Windows Server 2003

技術特點:

· 病毒破壞:

1、傳送大量病毒郵件阻塞網路和郵件伺服器;

2、釋放後門病毒

病毒將在系統中殖入遠程後門代碼,該代碼,將回響遠程惡意用戶tcp請求建方一個遠程

shell進程。(win9x為command.com,NT,WIN2K,WINXP為cmd.exe),可以對本地機器進行完

全控制。

3、釋放通過QQ傳播的病毒:“Win32.Troj.QQmsgSupnot”

該病毒通過傳送誘惑信息導致用戶上當,從而中毒,詳情請參考該病毒報告。

4、病毒變向感染執行檔

病毒可能會將EXE檔案改名為ZMX檔案,並設定屬性為“隱藏”和“系統”,如:病毒搜尋到

一個名為“Winword.exe”的檔案,會將其改名“Winword.zmx”並設定屬性“隱藏”和“系

統”,然後釋放一個名為“Winword.exe”的病毒複本。

這個功能的條件是:病毒運行後,每隔一小時會檢查系統中是否有“網路映射驅動器”和

“可移動驅器”,如果有,側會進行上述變相的檔案感染。

· 發作現象:已分享資料夾會塞滿此蠕蟲的檔案,一般容易辨認

· 系統修改:

A、自我複製到

%SYSDIR%\\IEXPLORE.EXE

%SYSDIR%\\kernel66.dll

%SYSDIR%\\RAVMOND.exe

%SYSDIR%\\SysBoot.EXE

%SYSDIR%\\WinDriver.exe

%SYSDIR%\\winexe.exe

%SYSDIR%\\WinGate.exe

%SYSDIR%\\WinHelp.exe

%DRIVER%\\SysBoot.exe

B、病毒將釋放一個DLL檔案,此檔案將在系統中殖入遠程後門代碼

%SYSDIR%\\reg678.dll

%SYSDIR%\\Task688.dll

病毒將釋放一個利用QQ傳送訊息傳播的病毒:"Win32.Troj.QQmsgSupnot",相關檔案名稱目錄為:

%SYSDIR%internet.exe

%SYSDIR%svch0st.exe

C、添加以下鍵值

HKEY_CLASSES_ROOT\\exefile\\shell\\open\\command

(默認) : %SYSDIR%\\WINEXE.EXE "%1" %*

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Currentversion\\Run

"WinGate initialize" = "%SYSDIR%\\WINGATE.EXE -REMOTESHELL"

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Currentversion\\Run

"WinHelp" = "%SYSDIR%\\WINHELP.EXE"

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Currentversion\\Run

"Remote Procedure Call Locator" = "RUNDLL32.EXE REG678.DLL ONDLL_REG"

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Currentversion\\Run

"Program In Windows" = "%SYSDIR%\\IEXPLORE.EXE"

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Currentversion\\RunServices

"SystemTra" = "%WINDIR%\\SYSTRA.EXE /SYSTRA:KERNEL32.DLL"

在win9x下還修改系統檔案:

WIN.INI

[WINDOWS]

"RUN" = "RAVMOND.EXE"

在win2k、NT、XP下註冊服務:

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\ll_reg

Display Name = "ll_reg "

IMAGEPATH = "RUNDLL32.EXE TASK688.DLL ONDLL_SERVER"

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Windows Management Instrumentation Driver Extension

Display Name = "Windows Management Instrumentation Driver Extension"

IMAGEPATH = "%SYSTEM%\\WINDRIVER.EXE -START_SERVER"

病毒也將在每一個硬碟和可移動盤的根目錄下建立一個檔案:AUTORUN.INF的檔案,內容為:

[AUTORUN]

Open="%DRIVER%:\\SysBoot.EXE" /StartExplorer

其中%DRIVER%為相應的驅動器。

這樣在用戶打開該驅動器後將運行病毒

D、Windows弱口令密碼試探攻擊、放出後門程式、盜取密碼

E、病毒利用mapi及搜出的email地址,對收信箱裡的郵件進行回復(傳播)。

郵件標題隨機從病毒體內選出

F、當病毒被運行後每隔一定時間傳送一次通知郵件給位於163.com的一個信箱,郵件內容為中毒系統的ip地址,以便利用病毒的後門進行控制

解決方案:

· 進行升級:

金山公司將於3月12日當天進行升級,該天病毒庫可以徹底查殺此病毒,推薦到安全模式查殺;

· 使用專殺工具:

用戶也可以到http://www.duba.net/download/3/28.shtml免費下載惡郵差專殺工具,並進行該

病毒的清除,推薦到安全模式查殺。

· 手動清除:

該病毒手工清除比較困難,建議使用防毒軟體或專殺工具,推薦到安全模式查殺。

注意:如果您的機器上有“可移動磁碟”和“網路映射驅動器”時,請注意搜尋所有的

“*.zmx”檔案,找到後請將其後綴改名為exe。推薦使用專殺工具來清除,可以自動恢復被病

毒改名的正常檔案。

相關詞條

熱門詞條

聯絡我們