“網路天空”04年起肆虐網際網路,至今仍存活。該病毒運行後,衍生病毒檔案到系統目錄下,添加註冊表啟動項以隨機引導病毒體。病毒內建SMTP伺服器,偽造大量發信地址,傳送大量帶有名為“主題名+隨機數字·pif”的附屬檔案的垃圾郵件到指定地址。當用戶點擊附屬檔案時,即中毒。
基本介紹
簡介,行為分析,衍生下列副本與檔案,病毒從包含下列擴展名的檔案中搜尋郵件地址,清除方案,
簡介
病毒名稱:Email-Worm.Win32.NetSky.t
檔案 MD5:F1EAC29A09279D51C81585AE47C5255D
危害等級:中等
檔案長度:38,912 位元組
感染系統:Win98以上系統
開發工具:Microsoft Visual C++ 6.0
加殼工具:LE-Exe Executable Image *
UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
命名對照:驅逐艦[Win32.HLLP.Secto]
瑞星[Win32.Sality.k]
行為分析
衍生下列副本與檔案
%Windir%\ uinmzertinmds.opm
%Windir%\ EasyAV.exe
%System32%\vcmgcd32.dll
%System32%\vcmgcd32.dl
病毒從包含下列擴展名的檔案中搜尋郵件地址
.sht.adb .tbb.wab.dbx.oft.doc.msg
清除方案
1、使用安天木馬防線可徹底清除此病毒(推薦)
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
EasyAV.exe
(2) 刪除病毒釋放檔案
%Windir%\ uinmzertinmds.opm
%Windir%\ EasyAV.exe
%System32%\vcmgcd32.dll
%System32%\vcmgcd32.dl
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run\EasyAVValue: String: "%WINDir\EasyAV.exe"
