病毒信息:
病毒名稱: Worm.Supnot.u
中文名稱: 惡郵差變種U
威脅級別: 3A
病毒別名: 別名[瑞星]
密碼殺手 [江民]
病毒類型: 蠕蟲、後門
受影響系統:Win9x/Win2000/Winnt/WinXP/Windows Server 2003
技術特點:
· 病毒破壞:
1、傳送大量病毒郵件阻塞網路和郵件伺服器;
2、釋放後門病毒
病毒將在系統中殖入遠程後門代碼,該代碼,將回響遠程惡意用戶tcp請求建方一個遠程
shell進程。(win9x為command.com,NT,WIN2K,WINXP為cmd.exe),可以對本地機器進行完
全控制。
3、釋放通過QQ傳播的病毒:“Win32.Troj.QQmsgSupnot”
該病毒通過傳送誘惑信息導致用戶上當,從而中毒,詳情請參考該病毒報告。
4、病毒變向感染執行檔
病毒可能會將EXE檔案改名為ZMX檔案,並設定屬性為“隱藏”和“系統”,如:病毒搜尋到
一個名為“Winword.exe”的檔案,會將其改名“Winword.zmx”並設定屬性“隱藏”和“系
統”,然後釋放一個名為“Winword.exe”的病毒複本。
這個功能的條件是:病毒運行後,每隔一小時會檢查系統中是否有“網路映射驅動器”和
“可移動驅器”,如果有,側會進行上述變相的檔案感染。
· 發作現象:已分享資料夾會塞滿此蠕蟲的檔案,一般容易辨認
· 系統修改:
A、自我複製到
%SYSDIR%\\IEXPLORE.EXE
%SYSDIR%\\kernel66.dll
%SYSDIR%\\RAVMOND.exe
%SYSDIR%\\SysBoot.EXE
%SYSDIR%\\WinDriver.exe
%SYSDIR%\\winexe.exe
%SYSDIR%\\WinGate.exe
%SYSDIR%\\WinHelp.exe
%DRIVER%\\SysBoot.exe
B、病毒將釋放一個DLL檔案,此檔案將在系統中殖入遠程後門代碼
%SYSDIR%\\reg678.dll
%SYSDIR%\\Task688.dll
病毒將釋放一個利用QQ傳送訊息傳播的病毒:"Win32.Troj.QQmsgSupnot",相關檔案名稱目錄為:
%SYSDIR%internet.exe
%SYSDIR%svch0st.exe
C、添加以下鍵值
HKEY_CLASSES_ROOT\\exefile\\shell\\open\\command
(默認) : %SYSDIR%\\WINEXE.EXE "%1" %*
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Currentversion\\Run
"WinGate initialize" = "%SYSDIR%\\WINGATE.EXE -REMOTESHELL"
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Currentversion\\Run
"WinHelp" = "%SYSDIR%\\WINHELP.EXE"
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Currentversion\\Run
"Remote Procedure Call Locator" = "RUNDLL32.EXE REG678.DLL ONDLL_REG"
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Currentversion\\Run
"Program In Windows" = "%SYSDIR%\\IEXPLORE.EXE"
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Currentversion\\RunServices
"SystemTra" = "%WINDIR%\\SYSTRA.EXE /SYSTRA:KERNEL32.DLL"
在win9x下還修改系統檔案:
WIN.INI
[WINDOWS]
"RUN" = "RAVMOND.EXE"
在win2k、NT、XP下註冊服務:
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\ll_reg
Display Name = "ll_reg "
IMAGEPATH = "RUNDLL32.EXE TASK688.DLL ONDLL_SERVER"
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Windows Management Instrumentation Driver Extension
Display Name = "Windows Management Instrumentation Driver Extension"
IMAGEPATH = "%SYSTEM%\\WINDRIVER.EXE -START_SERVER"
病毒也將在每一個硬碟和可移動盤的根目錄下建立一個檔案:AUTORUN.INF的檔案,內容為:
[AUTORUN]
Open="%DRIVER%:\\SysBoot.EXE" /StartExplorer
其中%DRIVER%為相應的驅動器。
這樣在用戶打開該驅動器後將運行病毒
D、Windows弱口令密碼試探攻擊、放出後門程式、盜取密碼
E、病毒利用mapi及搜出的email地址,對收信箱裡的郵件進行回復(傳播)。
郵件標題隨機從病毒體內選出
F、當病毒被運行後每隔一定時間傳送一次通知郵件給位於163.com的一個信箱,郵件內容為中毒系統的ip地址,以便利用病毒的後門進行控制
解決方案:
· 進行升級:
金山公司將於3月12日當天進行升級,該天病毒庫可以徹底查殺此病毒,推薦到安全模式查殺;
· 使用專殺工具:
用戶也可以到http://www.duba.net/download/3/28.shtml免費下載惡郵差專殺工具,並進行該
病毒的清除,推薦到安全模式查殺。
· 手動清除:
該病毒手工清除比較困難,建議使用防毒軟體或專殺工具,推薦到安全模式查殺。
注意:如果您的機器上有“可移動磁碟”和“網路映射驅動器”時,請注意搜尋所有的
“*.zmx”檔案,找到後請將其後綴改名為exe。推薦使用專殺工具來清除,可以自動恢復被病
毒改名的正常檔案。
