“惡郵差”變種U病毒

病毒信息：

病毒名稱: Worm.Supnot.u

中文名稱: 惡郵差變種U

威脅級別: 3A

病毒別名: 別名[瑞星]

密碼殺手 [江民]

病毒類型: 蠕蟲、後門

受影響系統:Win9x/Win2000/Winnt/WinXP/Windows Server 2003

技術特點：

· 病毒破壞：

1、傳送大量病毒郵件阻塞網路和郵件伺服器；

2、釋放後門病毒

病毒將在系統中殖入遠程後門代碼，該代碼，將回響遠程惡意用戶tcp請求建方一個遠程

shell進程。（win9x為command.com，NT,WIN2K,WINXP為cmd.exe），可以對本地機器進行完

全控制。

3、釋放通過QQ傳播的病毒：“Win32.Troj.QQmsgSupnot”

該病毒通過傳送誘惑信息導致用戶上當，從而中毒，詳情請參考該病毒報告。

4、病毒變向感染執行檔

病毒可能會將EXE檔案改名為ZMX檔案，並設定屬性為“隱藏”和“系統”，如：病毒搜尋到

一個名為“Winword.exe”的檔案，會將其改名“Winword.zmx”並設定屬性“隱藏”和“系

統”，然後釋放一個名為“Winword.exe”的病毒複本。

這個功能的條件是：病毒運行後，每隔一小時會檢查系統中是否有“網路映射驅動器”和

“可移動驅器”，如果有，側會進行上述變相的檔案感染。

· 發作現象：已分享資料夾會塞滿此蠕蟲的檔案，一般容易辨認

· 系統修改：

A、自我複製到

%SYSDIR%\\IEXPLORE.EXE

%SYSDIR%\\kernel66.dll

%SYSDIR%\\RAVMOND.exe

%SYSDIR%\\SysBoot.EXE

%SYSDIR%\\WinDriver.exe

%SYSDIR%\\winexe.exe

%SYSDIR%\\WinGate.exe

%SYSDIR%\\WinHelp.exe

%DRIVER%\\SysBoot.exe

B、病毒將釋放一個DLL檔案，此檔案將在系統中殖入遠程後門代碼

%SYSDIR%\\reg678.dll

%SYSDIR%\\Task688.dll

病毒將釋放一個利用QQ傳送訊息傳播的病毒:"Win32.Troj.QQmsgSupnot"，相關檔案名稱目錄為：

%SYSDIR%internet.exe

%SYSDIR%svch0st.exe

C、添加以下鍵值

HKEY_CLASSES_ROOT\\exefile\\shell\\open\\command

(默認) : %SYSDIR%\\WINEXE.EXE "%1" %*

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Currentversion\\Run

"WinGate initialize" = "%SYSDIR%\\WINGATE.EXE -REMOTESHELL"

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Currentversion\\Run

"WinHelp" = "%SYSDIR%\\WINHELP.EXE"

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Currentversion\\Run

"Remote Procedure Call Locator" = "RUNDLL32.EXE REG678.DLL ONDLL_REG"

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Currentversion\\Run

"Program In Windows" = "%SYSDIR%\\IEXPLORE.EXE"

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Currentversion\\RunServices

"SystemTra" = "%WINDIR%\\SYSTRA.EXE /SYSTRA:KERNEL32.DLL"

在win9x下還修改系統檔案：

WIN.INI

[WINDOWS]

"RUN" = "RAVMOND.EXE"

在win2k、NT、XP下註冊服務：

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\ll_reg

Display Name = "ll_reg "

IMAGEPATH = "RUNDLL32.EXE TASK688.DLL ONDLL_SERVER"

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Windows Management Instrumentation Driver Extension

Display Name = "Windows Management Instrumentation Driver Extension"

IMAGEPATH = "%SYSTEM%\\WINDRIVER.EXE -START_SERVER"

病毒也將在每一個硬碟和可移動盤的根目錄下建立一個檔案：AUTORUN.INF的檔案，內容為：

[AUTORUN]

Open="%DRIVER%:\\SysBoot.EXE" /StartExplorer

其中%DRIVER%為相應的驅動器。

這樣在用戶打開該驅動器後將運行病毒

D、Windows弱口令密碼試探攻擊、放出後門程式、盜取密碼

E、病毒利用mapi及搜出的email地址，對收信箱裡的郵件進行回復（傳播）。

郵件標題隨機從病毒體內選出

F、當病毒被運行後每隔一定時間傳送一次通知郵件給位於163.com的一個信箱,郵件內容為中毒系統的ip地址，以便利用病毒的後門進行控制

解決方案:

· 進行升級：

金山公司將於3月12日當天進行升級，該天病毒庫可以徹底查殺此病毒，推薦到安全模式查殺；

· 使用專殺工具：

用戶也可以到http://www.duba.net/download/3/28.shtml免費下載惡郵差專殺工具，並進行該

病毒的清除，推薦到安全模式查殺。

· 手動清除：

該病毒手工清除比較困難，建議使用防毒軟體或專殺工具，推薦到安全模式查殺。

注意：如果您的機器上有“可移動磁碟”和“網路映射驅動器”時，請注意搜尋所有的

“*.zmx”檔案，找到後請將其後綴改名為exe。推薦使用專殺工具來清除，可以自動恢復被病

毒改名的正常檔案。