aspack_aspack 脱壳_aspack脱壳

“恶邮差”病毒。“恶邮差”病毒。四级恶性蠕虫病毒“恶邮差”英文名称Worm.Supnot.78858.c。

是蠕虫Supnot的最新变种。且改进了以前版本通过邮件传播方面的性能。手段极其“恶毒”。

中文名,“恶邮差”病毒。属性,网络病毒。性质,四级恶性蠕虫病毒。主要传播方式,邮件。危害级别,中。

综述。2月24日夜。金山反病毒监测中心率先截获了传播迅速。

病毒用ASPack压缩。并且改进了以前版本通过邮件传播方面的性能。病毒运行后会搜索本地文件目录。通过收件箱中的邮件地址向外发送带毒邮件传播自身。病毒激活后会复制自身到系统目录。文件名可能为winrpc.exe。WinGate.exe。WinRpcsrv.exe。rpcsrv.exe或syshelp.exe。病毒可能还会在系统目录生成1.dll。ily.dll。Task.dll。reg.dll等文件。

病毒还会修改注册表中系统启动项和txt文件打开的关联等。病毒感染Windows95。98。ME的系统后修改win.ini文件。在其winsows节中添加run=rpcsrv.exe。病毒会试图生成木马文件到系统目录下。会修改注册表。搜寻网络共享目录。10168端口。允许黑客在被感染的机器上执行不同的动作。病毒感染是WindowsNT。2000。XP的系统后会复制到ssrv.exe到系统目录。并修改注册表。

启动木马为服务。遍历本地网络。试图登陆其他计算机。可能的附件名：fun.exe。humor.exe。docs.exe。s3msong.exe。midsong.exe。billgt.exe。Card.EXE。SETUP.EXE。searchURL.exe。tamagotxi.exe。hamster.exe。news_doc.exe。PsPGame.exe。joke.exe。images.exe。pics.exe。

注意winrpcsrv.exe。winrpc.exe。wingate.exe。syshelp.exe。rpcsrv.exe。iexplore.exe。winVNC.exe….均为病毒。甚至其它的一切不常见的进程都有可能是。如果不能确定。找一台服务器上的进程来观察。2．将病毒程序的进程结束掉。对于不能结束的。可以使用附件中的pskill.exe结束掉。3． 打开“服务”。在服务列表中将没有“描述”服务进行筛选。

查找是否有"Browser Telnet" "Event Thread" "Windows Management Extension"……的服务。依次删掉注册表中的[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BRWWTELK][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\prom0n.exe][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Management Extension][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Window Remote Service][HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run4．删掉[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dll_reg][HKEY_CLASSES_ROOT\Applications\winrpc.exe]的健值。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/ruanjian/article-41638-1.html