北京信息安全测评中心、金山毒霸 联合发布2004年07月06日热门病毒

　　据金山毒霸反病毒实验室介绍，今日提醒用户注意以下病毒：

　　“恶邮差变种”（ Worm.Supnot.ae），病毒会中止一些知名杀毒软件的病毒防火墙和杀毒程序，如：金山毒霸、瑞星、诺顿、天网、Kill等。并且改进的方式更加恶毒，只要程序的进程名中含"KV"、"KAV"、"Duba"、"NAV"、"kill"、"RavMon.exe"、"Rfw.exe"、
"Gate"、"McAfee"、"Symantec"、"SkyNet"、"rising"就会被病毒中止。

　　病毒信息：

　　病毒名称: Worm.Supnot.ae
　　中文名称：恶邮差变种
　　病毒类型：蠕虫
　　威胁级别: 3C
　　受影响系统: Win9x/WinMe/WinNT/Win2000/WinXp/Win2003

　　系统修改：

　　A、在系统目录及系统安装目录下添加以下文件：
　　%System%\TkBellExe.exe
　　%System%\Update_OB.exe
　　%System%\hxdef.exe
　　%System%\RAVMOND.exe
　　%System%\IEXPLORE.EXE
　　%System%\kernel66.dll
　　%System%\ODBC16.dll
　　%System%\msjdbc.dll
　　%System%\MSSIGN30.dll
　　%System%\NetMeeting.exe
　　%System%\Spollsv.exe
　　%System%\LMMIB20.DLL
　　%SystemRoot%\Media\mmc.exe
　　%SystemRoot%\svchost.exe

　　B、在病毒第一次运行的目录下生成一些RAR和ZIP压缩的文件:
　　如:bak.exe等

　　C、在C盘下生成以下文件：
　　c:\NetLog.txt

　　其它细节：

　　A、病毒感染是WindowsNT、2000、XP的系统后会启动病毒主程序为服务，服务名称
　　为“Windows Management NetWork Service Extensions”等。

　　B、它会遍历本地网络或随机生成IP，并用枚举密码的方式进行IPC$攻击，攻击成功
　　后，得到管理员权限，拷副本到被攻击机算机的系统目录，文件名为
　　NetManager.exe，并启动一个名为“Windows Management NetWork Service 　　
　　Extensions”的服务。

　　C、病毒运行后会搜索本地文件目录，通过收件箱中的邮件地址向外发送带毒邮件传
　　播自身，以及根据收件箱里的邮件内容自动回复邮件，每封邮件的附件中均携带病
　　毒副本。

　　邮件特征如下：
　　发送邮件时可能的主题、正文和附件名称
　　主题：
　　"Hi"
　　"Hi Dear"
　　"Attached one Gift for u.."
　　"Help"
　　"Great"
　　"for you"
　　"Last Update"
　　"Let's Laugh"
　　"Reply to this!"

　　正文：
　　"For further assistance, please contact!"
　　"Copy of your message, including all the headers is attached."
　　"This is the last cumulative update."
　　"Tiger Woods had two eagles Friday during his victory over Stephen
　　Leaney. (AP Photo/Denis Poroy)"
　　"Send reply if you want to be official beta tester."
　　"This message was created automatically by mail delivery software
　　(Exim)."
　　"It',27h,'s the long-awaited film version of the Broadway hit. Set in the
　　roaring 20',27h,'s, this is the story of Chicago chorus girl Roxie Hart
　　(Zellweger), who shoots her unfaithful lover (West)."
　　"Adult content!!! Use with parental advisory."
　　"Patrick Ewing will give Knick fans something to cheer about Friday
　　night."

　　附件名称：
　　"images.pif"
　　"README.TXT.pif"
　　"Interesting.exe"
　　"Source.exe"
　　"YOU_are_FAT!.TXT.pif"
　　"enjoy.exe"
　　"Doom3 Preview!!!.exe"
　　"driver.exe"
　　"About_Me.txt.pif"

　　D、病毒会开一个进程用于监视病毒主程序，如果病毒主程序被中止，会立即重新装
　　载主程序。

　　E、病毒感染Windows95、98、ME的系统后修改win.ini文件，在其winsows节的run项
　　中添加自身。病毒会试图生成木马文件（如111.dll、ily.dll、Task.dll、
　　reg.dll）到系统目录下，会修改注册表，搜寻网络共享目录,向可写的目录中写入
　　病毒副本。监听端口，允许黑客控制被感染的计算机。

　　F、该病毒定时会向一个163的信箱发送邮件，邮件内容为被感染PC的IP地址。病毒
　　激活后会利用HOOK函数盗取用户的密码。

　　解决方案:

　　请使用金山毒霸2004年07月05日的病毒库可完全处理该病毒。
　　如没有安装金山毒霸，可以登录http://online.kingsoft.com/使用金山毒霸的在线查毒或是金山
　　毒霸下载版来防止该病毒的入侵。