“惡郵差”病毒

2月24日夜，金山反病毒監測中心率先截獲了傳播迅速、極具破壞力的“惡郵差”4級蠕蟲病毒。據金山反病毒技術工程師透露，“惡郵差”蠕蟲病毒採用了ASPack壓縮，是蠕蟲Supnot的最新變種，英文全稱為Wrom.Supnot.78858.c。“惡郵差”蠕蟲病毒主要是通過電子郵件傳播的。

“惡郵差”病毒典型破壞行為是能夠根據收件箱中的郵件內容自動回復郵件，每封郵件的附屬檔案中均攜帶病毒副本。由於接收者看到的是對已傳送郵件的回信，很可能會打開過該郵件導致中招。由此郵件伺服器可能會在極短時間內不堪重負而崩潰。病毒運行後會搜尋本地目錄，通過收件箱中的郵件地址向外傳送帶毒郵件傳播自身。病毒會根據收件箱裡面的郵件回復帶毒郵件給原始發件人，這時的帶毒郵件的主題和內容就跟原始郵件有關。

重量級病毒“惡郵差”最新變種技術分析文檔：

病毒名稱：Worm.Supnot.78858.c

病毒中文名稱：惡郵差

病毒類型：蠕蟲

病毒長度：78848

危害級別：中

傳播速度：高

該病毒是蠕蟲Supnot的最新變種，病毒用ASPack壓縮，並且改進了以前版本通過郵件傳播方面的性能。

病毒運行後會搜尋本地檔案目錄，通過收件箱中的郵件地址向外傳送帶毒郵件傳播自身。

病毒激活後會複製自身到系統目錄，檔案名稱可能為winrpc.exe、WinGate.exe、WinRpcsrv.exe、rpcsrv.exe或syshelp.exe。病毒可能還會在系統目錄生成1.dll、ily.dll、Task.dll、reg.dll等檔案。病毒還會修改註冊表中系統啟動項和txt檔案打開的關聯等。

病毒感染Windows95、98、ME的系統後修改win.ini檔案，在其winsows節中添加run=rpcsrv.exe。病毒會試圖生成木馬檔案（如1.dll、ily.dll、Task.dll、reg.dll）到系統目錄下，會修改註冊表，搜尋網路已分享資料夾，監聽10168連線埠，允許黑客在被感染的機器上執行不同的動作。

病毒感染是WindowsNT、2000、XP的系統後會複製到ssrv.exe到系統目錄，並修改註冊表，啟動木馬為服務，遍曆本地網路，試圖登入其他計算機。

可能的附屬檔案名：fun.exe、humor.exe、docs.exe、s3msong.exe、midsong.exe、billgt.exe、Card.EXE、SETUP.EXE、searchURL.exe、tamagotxi.exe、hamster.exe、news_doc.exe、PsPGame.exe、joke.exe、images.exe、pics.exe、Roms.exe、Sex.exe、Setup.exe、Source.exe、_SetupB.exe、Pack.exe、LUPdate.exe、Patch.exe、CrkList.exe

病毒將會根據收件箱裡面的郵件回復帶毒的郵件給原始發件人，這時帶毒郵件的主題和內容就跟原始郵件有關了。此外，病毒還有可能選擇以下主題、內容：

Send me your comments...； Test this ROM! IT ROCKS!.； Adult content!!! Use with parental advisory.；Test it 30 days for free.；I‘m going crazy... please try to find the bug!.；Send reply if you want to be official beta tester.；This is the pack ;)；This is the last cumulative update.； I think all will work fine.； Check our list and mail your requests!

--作者：網友

--------------------------------------------------------------------------------

1．使用資源管理器查看進程，注意winrpcsrv.exe、winrpc.exe、wingate.exe、syshelp.exe、rpcsrv.exe、iexplore.exe、winVNC.exe….均為病毒（或由病毒生成的後門軟體），甚至其它的一切不常見的進程都有可能是，如果不能確定，找一台伺服器上的進程來觀察（伺服器應該不會被感染）。

2．將病毒程式（後門）的進程結束掉，對於不能結束的，可以使用附屬檔案中的pskill.exe結束掉（命令格式“pskill 進程名”）。

3． 打開“服務”，在服務列表中將沒有“描述”服務進行篩選，查找是否有"Browser Telnet" "Event Thread" "Windows Management Extension"……的服務，依次刪掉註冊表中的

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BRWWTELK]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\prom0n.exe]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Management Extension]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Window Remote Service]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run(Run Services]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run(Run Services]……的相關的健值(還有WinVNC的進程，沒有記住是什麼健值)

4．刪掉[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dll_reg]

[HKEY_CLASSES_ROOT\Applications\winrpc.exe]的健值，

5. 並修改[HKEY_CLASSES_ROOT\txtfile\shell\open\command]的右側的默認健值為” %SystemRoot%\system32\NOTEPAD.EXE %1”,此時，.txt的檔案無法正常打開，可以點擊文本檔案的右鍵選擇其它方式，選擇使用Notepad即可。

6．刪掉系統system32目錄下的以下程式（大部分可執行程式的大小都為78,848位元組）： winrpcsrv.exe 、 winrpc.exe 、wingate.exe、 syshelp.exe 、 rpcsrv.exe 、 iexplore.exe 、 prom0n.exe（注意中間的是數字0） 、 irftpd.exe 、 irftpd.dll 、 iexplore.exe 、 reg.dll 、 task.dll 、 ily.dll 、 Thdstat.exe 、 1.dll 、winvnc.exe

7. 清空“C:\Documents and Settings\Default User（或Default Uesr..WINNT）\Local Settings\Temporary Internet Files\Content IE5”目錄下除了“desktop.ini”的所有檔案，該路徑下，發現有一些後門軟體。

8．關閉所有目錄的完全共享！――這是關閉了該程式還可以通過網路感染的途徑。

9. 重新啟動計算機，觀察是否還有類似進程出現，尤其是irftpd.exe，這個程式是由上述第3步的“服務”程式自動生成的。

重量級病毒“惡郵差”最新變種技術分析文檔

1、確保主機安裝有防毒軟體

2、把防毒軟體病毒庫更新到最新

3、使用輔助工具掃描系統，例如360安全衛士、windows清理助手

5、下載專殺工具查殺病毒

6、收到可疑郵件不要打開

7、平時養成良好的使用習慣，勤防毒，不要隨便打開來歷不明的網站

“惡郵差”蠕蟲病毒採用ASPack壓縮，是蠕蟲Supnot的變種，英文全稱為Worm.Supnot.78858.c。“惡郵差”蠕蟲病毒主要通過電子郵件傳播。“惡郵差”蠕蟲病毒最大的危害在於，該病毒會搜尋收件箱裡的郵件自動回復。這時回復的帶毒郵件主題和內容就跟原始郵件有關，附屬檔案會重命名及改動檔案內容，使得“惡郵差”蠕蟲病毒的傳播過程極具迷惑性。 收件人往往誤以為是朋友回復的有效郵件而打開附屬檔案，病毒郵件數量呈幾何級增長，最終致郵件伺服器於死地。該病毒通過電子郵件傳播的性能，同一般通過郵件傳播的蠕蟲病毒相比有了極大的改進和提高。

金山毒霸信息安全事業部總經理王峰介紹：“‘惡郵差’蠕蟲病毒運行後，會搜尋被感染系統的本地檔案目錄，在系統目錄下生成檔案名稱可能是winrpc.exe、WinGate.exe、 WinRpcsrv.exe、rpcsrv.exe或syshelp.exe的檔案。同時，通過收件箱中的郵件地址向外傳送帶毒郵件傳播自身。由此引發的連鎖反應將使病毒的傳播成幾何級增長，並直接導致郵件伺服器的癱瘓。另外，病毒可能還會在系統目錄生成1.dll、ily.dll、Task.dll、reg.dll等木馬檔案，還會修改註冊表中系統啟動項和txt檔案打開的關聯等”。

據了解，“惡郵差”病毒感染的傳播過程非常巧妙。如果感染Windows95、98、ME系統後，會修改win.ini檔案，在其windows節中添加run=rpcsrv.exe。試圖生成木馬檔案（如1.dll、ily.dll、Task.dll、reg.dll）到系統目錄下，同時修改註冊表，搜尋網路已分享資料夾，監聽10168連線埠，允許黑客在被感染的機器上執行不同的動作，這時中招主機就成了網際網路上一台可以任人宰割的“肉雞”。如果病毒感染是WindowsNT、2000、XP系統，病毒會複製到ssrv.exe到系統目錄，並修改註冊表，啟動木馬服務，遍曆本地網路，試圖登入並感染其他計算機。

“惡郵差”病毒激活後會複製自身到系統目錄，檔案名稱可能為winrpc.exe、WinGate.exe、WinRpcsrv.exe、rpcsrv.exe或syshelp.exe。“惡郵差”病毒可能還會在系統目錄下生成1.dll、ily.dll、Task.dll、reg.dll等木馬檔案。病毒會在註冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run及Runservices下添加系統啟動項，還會在註冊表的HKEY_CLASSES_ROOT\txtfile\shell\open\command修改txt檔案的檔案關聯，正常情況下該鍵值默認值為Notepad %1，感染“惡郵差”後Notepad會被病毒程式替換，造成文本檔案不能打開。

如果感染Windows95、98、ME系統，“惡郵差”病毒會修改win.ini檔案，在其中windows節中添加run=rpcsrv.exe，以確保病毒程式在每次開機時自動載入。“惡郵差”病毒還會試圖生成木馬檔案（如1.dll、ily.dll、Task.dll、reg.dll）到系統目錄（Win9x一般為Windows\system）下，會修改註冊表，搜尋網路已分享資料夾並嘗試通過可寫的已分享資料夾感染，監聽10168連線埠，允許黑客在被感染的機器上執行不同的動作，這時中招主機就成了網際網路中可以任人宰割的“肉雞”。

如果感染Windows NT、2000、XP系統，“惡郵差”病毒會生成ssrv.exe到系統目錄（Win2k/xp為Winnt\system32）下，同時遍曆本地網路，試圖登入其他計算機。“惡郵差”病毒會修改註冊表。在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services項，增加以下服務BRWWTELK、prom0n.exe、Windows Management Extension、Window Remote Service、dll_reg。

帶毒郵件附屬檔案為可執行程式，檔案名稱不固定，可能為以下名稱：

fun.exe、humor.exe、docs.exe、s3msong.exe、midsong.exe、billgt.exe、Card.EXE、SETUP.EXE、searchURL.exe、tamagotxi.exe、hamster.exe、news_doc.exe、PsPGame.exe、joke.exe、images.exe、pics.exe、Roms.exe、Sex.exe、Setup.exe、Source.exe、_SetupB.exe、Pack.exe、LUPdate.exe、Patch.exe、CrkList.exe。

此外，“惡郵差”病毒還有可能選擇以下主題、內容：

可能的主題：Documents、Roms、Pr0n!、Evaluation copy、Help、Beta、Do not release、Last Update、The patch、Cracks!等。

郵件正文可能是：Send me your comments...、 Test this ROM! IT ROCKS!.、 Adult content!!! Use with parental advisory.、 Test it 30 days for free.、 I‘m going crazy... please try to find the bug!.、 Send reply if you want to be official beta tester.、 This is the pack ;)、 This is the last cumulative update.、 I think all will work fine.、 Check our list and mail your requests!。