Virus 版 (精华区)

发信人: zyw (秋风), 信区: Virus
标  题: “恶邮差”专杀工具更新,可查杀其最新变种说明 
发信站: 哈工大紫丁香 (2003年09月17日09:16:51 星期三), 站内信件

:·“恶邮差”专杀工具更新,可查杀其最新变种说明 

工具介绍:
  四级恶性蠕虫病毒“恶邮差”英文名称Worm.Supnot.78858.c,是蠕虫Supnot的
最新变种,且改进了以前版本通过邮件传播方面的性能,手段极其“恶毒”。

  “恶邮差”病毒典型破坏行为是能够根据收件箱中的邮件内容自动回复邮件,
每封邮件的附件中均携带病毒副本。由于接收者看到的是对已发送邮件的回信,很
可能会打开过该邮件导致中招。由此邮件服务器可能会在极短时间内不堪重负而崩
溃。病毒运行后会搜索本地目录,通过收件箱中的邮件地址向外发送带毒邮件传播
自身。病毒会根据收件箱里面的邮件回复带毒邮件给原始发件人,这时的带毒邮件
的主题和内容就跟原始邮件有关。

  技术特征:该病毒是蠕虫Supnot的最新变种,病毒用ASPack压缩,并且改进了
以前版本通过邮件传播方面的性能。

   病毒运行后会搜索本地文件目录,通过收件箱中的邮件地址向外发送带毒邮件
传播自身。

   病毒激活后会复制自身到系统目录,文件名可能为winrpc.exe、WinGate.exe、
WinRpcsrv.exe、rpcsrv.exe或syshelp.exe。病毒可能还会在系统目录生成
1.dll、ily.dll、Task.dll、reg.dll等文件。病毒还会修改注册表中系统启动项
和txt文件打开的关联等。

   病毒感染Windows95、98、ME的系统后修改win.ini文件,在其winsows节中
添加run=rpcsrv.exe。病毒会试图生成木马文件(如1.dll、ily.dll、Task.dll、
reg.dll)到系统目录下,会修改注册表,搜寻网络共享目录,监听10168端口,
允许黑客在被感染的机器上执行不同的动作。

   病毒感染是WindowsNT、2000、XP的系统后会复制到ssrv.exe到系统目录,
并修改注册表,启动木马为服务,遍历本地网络,试图登陆其他计算机。 

--
※ 来源:·哈工大紫丁香 bbs.hit.edu.cn·[FROM: 210.46.72.9]
[百宝箱] [返回首页] [上级目录] [根目录] [返回顶部] [刷新] [返回]
Powered by KBS BBS 2.0 (http://dev.kcn.cn)
页面执行时间:2.036毫秒