四级恶性蠕虫病毒“恶邮差”英文名称worm.supnot.78858.c，是蠕虫supnot的最新变种，且改进了以前版本通过邮件传播方面的性能，手段极其“恶毒”。
“恶邮差”病毒典型破坏行为是能够根据收件箱中的邮件内容自动回复邮件，每封邮件的附件中均携带病毒副本。由于接收者看到的是对已发送邮件的回信，很可能会打开过该邮件导致中招。由此邮件服务器可能会在极短时间内不堪重负而崩溃。病毒运行后会搜索本地目录，通过收件箱中的邮件地址向外发送带毒邮件传播自身。病毒会根据收件箱里面的邮件回复带毒邮件给原始发件人，这时的带毒邮件的主题和内容就跟原始邮件有关。


　
重量级病毒“恶邮差”最新变种技术分析文档：

病毒名称：worm.supnot.78858.c

　　病毒中文名称：恶邮差

　　病毒类型：蠕虫

　　病毒长度：78848

　　危害级别：中

　　传播速度：高

　　技术特征：该病毒是蠕虫supnot的最新变种，病毒用aspack压缩，并且改进了以前版本通过邮件传播方面的性能。

　　病毒运行后会搜索本地文件目录，通过收件箱中的邮件地址向外发送带毒邮件传播自身。

　　病毒激活后会复制自身到系统目录，文件名可能为winrpc.exe、wingate.exe、winrpcsrv.exe、rpcsrv.exe或syshelp.exe。病毒可能还会在系统目录生成1.dll、ily.dll、task.dll、reg.dll等文件。病毒还会修改注册表中系统启动项和txt文件打开的关联等。

　　病毒感染windows95、98、me的系统后修改win.ini文件，在其winsows节中添加run=rpcsrv.exe。病毒会试图生成木马文件（如1.dll、ily.dll、task.dll、reg.dll）到系统目录下，会修改注册表，搜寻网络共享目录，监听10168端口，允许黑客在被感染的机器上执行不同的动作。

　　病毒感染是windowsnt、2000、xp的系统后会复制到ssrv.exe到系统目录，并修改注册表，启动木马为服务，遍历本地网络，试图登陆其他计算机。

　　

带毒邮件的特征：
可能的附件名：fun.exe、humor.exe、docs.exe、s3msong.exe、midsong.exe、billgt.exe、card.exe、setup.exe、searchurl.exe、tamagotxi.exe、hamster.exe、news_doc.exe、pspgame.exe、joke.exe、images.exe、pics.exe、roms.exe、sex.exe、setup.exe、source.exe、_setupb.exe、pack.exe、lupdate.exe、patch.exe、crklist.exe

　　病毒会根据收件箱里面的邮件回复带毒邮件给原始发件人，这时的带毒邮件的主题和内容就跟原始邮件有关。此外，病毒还有可能选择以下主题、内容：

　　可能的主题：documents、roms、pr0n!、evaluationcopy、help、beta、donotrelease、lastupdate、thepatch、cracks!

　　可能的邮件正文：sendmeyourcomments...；testthisrom!itrocks!.；adultcontent!!!usewithparentaladvisory.；testit30daysforfree.；i‘mgoingcrazy...pleasetrytofindthebug!.；sendreplyifyouwanttobeofficialbetatester.；thisisthepack;)；thisisthelastcumulativeupdate.；ithinkallwillworkfine.；checkourlistandmailyourrequests!
　
教你手工清除“恶邮差”（supnot）蠕虫病毒
--作者：网友
--------------------------------------------------------------------------------
　　1．使用资源管理器查看进程，注意winrpcsrv.exe、winrpc.exe、wingate.exe、syshelp.exe、rpcsrv.exe、iexplore.exe、winvnc.exe….均为病毒（或由病毒生成的后门软件），甚至其它的一切不常见的进程都有可能是，如果不能确定，找一台服务器上的进程来观察（服务器应该不会被感染）。

　　2．将病毒程序（后门）的进程结束掉，对于不能结束的，可以使用附件中的pskill.exe结束掉（命令格式“pskill进程名”）。

　　3．打开“服务”，在服务列表中将没有“描述”服务进行筛选，查找是否有"browsertelnet""eventthread""windowsmanagementextension"……的服务，依次删掉注册表中的

　　[hkey_local_machine\system\currentcontrolset\services\brwwtelk]

　　[hkey_local_machine\system\currentcontrolset\services\prom0n.exe]

　　[hkey_local_machine\system\currentcontrolset\services\windowsmanagementextension]

　　[hkey_local_machine\system\currentcontrolset\services\windowremoteservice]

　　[hkey_current_user\software\microsoft\windows\currentversion\run(runservices]

　　[hkey_local_machine\software\microsoft\windows\currentversion\run(runservices]……的相关的健值(还有winvnc的进程，没有记住是什么健值)

　　4．删掉[hkey_local_machine\system\currentcontrolset\services\dll_reg]

　　[hkey_classes_root\applications\winrpc.exe]的健值，

　　5.并修改[hkey_classes_root\txtfile\shell\open\command]的右侧的默认健值为”%systemroot%\system32\notepad.exe%1”,此时，.txt的文件无法正常打开，可以点击文本文件的右键选择其它方式，选择使用notepad即可。

　　6．删掉系统system32目录下的以下程序（大部分可执行程序的大小都为78,848字节）：winrpcsrv.exe、winrpc.exe、wingate.exe、syshelp.exe、rpcsrv.exe、iexplore.exe、prom0n.exe（注意中间的是数字0）、irftpd.exe、irftpd.dll、iexplore.exe、reg.dll、task.dll、ily.dll、thdstat.exe、1.dll、winvnc.exe

　　7.清空“c:\documentsandsettings\defaultuser（或defaultuesr..winnt）\localsettings\temporaryinternetfiles\content.ie5”目录下除了“desktop.ini”的所有文件，该路径下，发现有一些后门软件。

　　8．关闭所有目录的完全共享！╠╠这是关闭了该程序还可以通过网络感染的途径。

　　9.重新启动计算机，观察是否还有类似进程出现，尤其是irftpd.exe，这个程序是由上述第3步的“服务”程序自动生成的。
　
　




重量级病毒“恶邮差”最新变种技术分析文档

--------------------------------------------------------------------------------

　　病毒名称：worm.supnot.78858.c

　　病毒中文名称：恶邮差

　　病毒类型：蠕虫

　　病毒长度：78848

　　危害级别：中

　　传播速度：高

　　技术特征：该病毒是蠕虫supnot的最新变种，病毒用aspack压缩，并且改进了以前版本通过邮件传播方面的性能。

　　病毒运行后会搜索本地文件目录，通过收件箱中的邮件地址向外发送带毒邮件传播自身。

　　病毒激活后会复制自身到系统目录，文件名可能为winrpc.exe、wingate.exe、winrpcsrv.exe、rpcsrv.exe或syshelp.exe。病毒可能还会在系统目录生成1.dll、ily.dll、task.dll、reg.dll等文件。病毒还会修改注册表中系统启动项和txt文件打开的关联等。

　　病毒感染windows95、98、me的系统后修改win.ini文件，在其winsows节中添加run=rpcsrv.exe。病毒会试图生成木马文件（如1.dll、ily.dll、task.dll、reg.dll）到系统目录下，会修改注册表，搜寻网络共享目录，监听10168端口，允许黑客在被感染的机器上执行不同的动作。

　　病毒感染是windowsnt、2000、xp的系统后会复制到ssrv.exe到系统目录，并修改注册表，启动木马为服务，遍历本地网络，试图登陆其他计算机。

　　带毒邮件的特征：

　　可能的附件名：

　　fun.exe

　　humor.exe

　　docs.exe

　　s3msong.exe

　　midsong.exe

　　billgt.exe

　　card.exe

　　setup.exe

　　searchurl.exe

　　tamagotxi.exe

　　hamster.exe

　　news_doc.exe

　　pspgame.exe

　　joke.exe

　　images.exe

　　pics.exe

　　roms.exe

　　sex.exe

　　setup.exe

　　source.exe

　　_setupb.exe

　　pack.exe

　　lupdate.exe

　　patch.exe

　　crklist.exe

　　病毒会根据收件箱里面的邮件回复带毒邮件给原始发件人，这时的带毒邮件的主题和内容就跟原始邮件有关。此外，病毒还有可能选择以下主题、内容：

　　可能的主题：

　　documents

　　roms

　　pr0n!

　　evaluationcopy

　　help

　　beta

　　donotrelease

　　lastupdate

　　thepatch

　　cracks!

　　可能的邮件正文：

　　sendmeyourcomments...

　　testthisrom!itrocks!.

　　adultcontent!!!usewithparentaladvisory.

　　testit30daysforfree.

　　i‘mgoingcrazy...pleasetrytofindthebug!.

　　sendreplyifyouwanttobeofficialbetatester.

　　thisisthepack;)

　　thisisthelastcumulativeupdate.

　　ithinkallwillworkfine.

　　checkourlistandmailyourrequests!
　





搜狐it：四级新蠕虫病毒“恶邮差”害人不浅

--------------------------------------------------------------------------------

『搜狐it』

　　2月24日夜，金山反病毒监测中心率先截获了传播迅速、极具破坏力的“恶邮差”4级蠕虫病毒。据金山反病毒技术工程师透露，“恶邮差”蠕虫病毒采用了aspack压缩，是蠕虫supnot的最新变种，英文全称为worm.supnot.78858.c。“恶邮差”蠕虫病毒主要通过电子邮件传播。“恶邮差”蠕虫病毒最大的危害在于，该病毒会搜索收件箱里的邮件自动回复。这时回复的带毒邮件主题和内容就跟原始邮件有关，附件会重命名及改动文件内容，使得“恶邮差”蠕虫病毒的传播过程极具迷惑性。收件人往往误以为是朋友回复的有效邮件而打开附件，病毒邮件数量呈几何级增长，最终致邮件服务器于死地。该病毒通过电子邮件传播的性能，同一般通过邮件传播的蠕虫病毒相比有了极大的改进和提高。

　　金山毒霸信息安全事业部总经理王峰介绍：“‘恶邮差’蠕虫病毒运行后，会搜索被感染系统的本地文件目录，在系统目录下生成文件名可能是winrpc.exe、wingate.exe、winrpcsrv.exe、rpcsrv.exe或syshelp.exe的文件。同时，通过收件箱中的邮件地址向外发送带毒邮件传播自身。由此引发的连锁反应将使病毒的传播成几何级增长，并直接导致邮件服务器的瘫痪。另外，病毒可能还会在系统目录生成1.dll、ily.dll、task.dll、reg.dll等木马文件，还会修改注册表中系统启动项和txt文件打开的关联等”。

　　据了解，“恶邮差”病毒感染的传播过程非常巧妙。如果感染windows95、98、me系统后，会修改win.ini文件，在其windows节中添加run=rpcsrv.exe。试图生成木马文件（如1.dll、ily.dll、task.dll、reg.dll）到系统目录下，同时修改注册表，搜寻网络共享目录，监听10168端口，允许黑客在被感染的机器上执行不同的动作，这时中招主机就成了互联网上一台可以任人宰割的“肉鸡”。如果病毒感染是windowsnt、2000、xp系统，病毒会复制到ssrv.exe到系统目录，并修改注册表，启动木马服务，遍历本地网络，试图登陆并感染其他计算机。





四级蠕虫病毒“恶邮差”究竟“恶”在哪里？

--------------------------------------------------------------------------------

『金山反病毒资讯网』

　　4级恶性蠕虫病毒“恶邮差”英文名称worm.supnot.78858.c，是蠕虫supnot的最新变种，且改进了以前版本通过邮件传播方面的性能，手段极其“恶毒”。

　　“恶邮差”病毒典型破坏行为是能够根据收件箱中的邮件内容自动回复邮件，每封邮件的附件中均携带病毒副本。由于接收者看到的是对已发送邮件的回信，很可能会打开过该邮件导致中招。由此邮件服务器可能会在极短时间内不堪重负而崩溃。病毒运行后会搜索本地目录，通过收件箱中的邮件地址向外发送带毒邮件传播自身。病毒会根据收件箱里面的邮件回复带毒邮件给原始发件人，这时的带毒邮件的主题和内容就跟原始邮件有关。

　　“恶邮差”病毒激活后会复制自身到系统目录，文件名可能为winrpc.exe、wingate.exe、winrpcsrv.exe、rpcsrv.exe或syshelp.exe。“恶邮差”病毒可能还会在系统目录下生成1.dll、ily.dll、task.dll、reg.dll等木马文件。病毒会在注册表hkey_local_machine\software\microsoft\windows\currentversion\run及runservices下添加系统启动项，还会在注册表的hkey_classes_root\txtfile\shell\open\command修改txt文件的文件关联，正常情况下该键值默认值为notepad%1，感染“恶邮差”后notepad会被病毒程序替换，造成文本文件不能打开。

　　如果感染windows95、98、me系统，“恶邮差”病毒会修改win.ini文件，在其中windows节中添加run=rpcsrv.exe，以确保病毒程序在每次开机时自动加载。“恶邮差”病毒还会试图生成木马文件（如1.dll、ily.dll、task.dll、reg.dll）到系统目录（win9x一般为windows\system）下，会修改注册表，搜寻网络共享目录并尝试通过可写的共享目录感染，监听10168端口，允许黑客在被感染的机器上执行不同的动作，这时中招主机就成了互联网中可以任人宰割的“肉鸡”。

　　如果感染windowsnt、2000、xp系统，“恶邮差”病毒会生成ssrv.exe到系统目录（win2k/xp为winnt\system32）下，同时遍历本地网络，试图登陆其他计算机。“恶邮差”病毒会修改注册表。在hkey_local_machine\system\currentcontrolset\services项，增加以下服务brwwtelk、prom0n.exe、windowsmanagementextension、windowremoteservice、dll_reg。

　　带毒邮件附件为可执行程序，文件名不固定，可能为以下名称：

　　fun.exe、humor.exe、docs.exe、s3msong.exe、midsong.exe、billgt.exe、card.exe、setup.exe、searchurl.exe、tamagotxi.exe、hamster.exe、news_doc.exe、pspgame.exe、joke.exe、images.exe、pics.exe、roms.exe、sex.exe、setup.exe、source.exe、_setupb.exe、pack.exe、lupdate.exe、patch.exe、crklist.exe。

　　此外，“恶邮差”病毒还有可能选择以下主题、内容：

　　可能的主题：documents、roms、pr0n!、evaluationcopy、help、beta、donotrelease、lastupdate、thepatch、cracks!等。

　　邮件正文可能是：sendmeyourcomments...、testthisrom!itrocks!.、adultcontent!!!usewithparentaladvisory.、testit30daysforfree.、i‘mgoingcrazy...pleasetrytofindthebug!.、sendreplyifyouwanttobeofficialbetatester.、thisisthepack;)、thisisthelastcumulativeupdate.、ithinkallwillworkfine.、checkourlistandmailyourrequests!。

　教你手工清除“恶邮差”（supnot）蠕虫病毒
--作者：网友

--------------------------------------------------------------------------------
　　1．使用资源管理器查看进程，注意winrpcsrv.exe、winrpc.exe、wingate.exe、syshelp.exe、rpcsrv.exe、iexplore.exe、winvnc.exe….均为病毒（或由病毒生成的后门软件），甚至其它的一切不常见的进程都有可能是，如果不能确定，找一台服务器上的进程来观察（服务器应该不会被感染）。

　　2．将病毒程序（后门）的进程结束掉，对于不能结束的，可以使用附件中的pskill.exe结束掉（命令格式“pskill进程名”）。

　　3．打开“服务”，在服务列表中将没有“描述”服务进行筛选，查找是否有"browsertelnet""eventthread""windowsmanagementextension"……的服务，依次删掉注册表中的

　　[hkey_local_machine\system\currentcontrolset\services\brwwtelk]

　　[hkey_local_machine\system\currentcontrolset\services\prom0n.exe]

　　[hkey_local_machine\system\currentcontrolset\services\windowsmanagementextension]

　　[hkey_local_machine\system\currentcontrolset\services\windowremoteservice]

　　[hkey_current_user\software\microsoft\windows\currentversion\run(runservices]

　　[hkey_local_machine\software\microsoft\windows\currentversion\run(runservices]……的相关的健值(还有winvnc的进程，没有记住是什么健值)

　　4．删掉[hkey_local_machine\system\currentcontrolset\services\dll_reg]

　　[hkey_classes_root\applications\winrpc.exe]的健值，

　　5.并修改[hkey_classes_root\txtfile\shell\open\command]的右侧的默认健值为”%systemroot%\system32\notepad.exe%1”,此时，.txt的文件无法正常打开，可以点击文本文件的右键选择其它方式，选择使用notepad即可。

　　6．删掉系统system32目录下的以下程序（大部分可执行程序的大小都为78,848字节）：winrpcsrv.exe、winrpc.exe、wingate.exe、syshelp.exe、rpcsrv.exe、iexplore.exe、prom0n.exe（注意中间的是数字0）、irftpd.exe、irftpd.dll、iexplore.exe、reg.dll、task.dll、ily.dll、thdstat.exe、1.dll、winvnc.exe

　　7.清空“c:\documentsandsettings\defaultuser（或defaultuesr..winnt）\localsettings\temporaryinternetfiles\content.ie5”目录下除了“desktop.ini”的所有文件，该路径下，发现有一些后门软件。

　　8．关闭所有目录的完全共享！╠╠这是关闭了该程序还可以通过网络感染的途径。

　　9.重新启动计算机，观察是否还有类似进程出现，尤其是irftpd.exe，这个程序是由上述第3步的“服务”程序自动生成的。