I-Worm/NetSky.aa是用PECompact壓縮的網路蠕蟲病毒,利用自帶的SMTP引擎群發郵件到從感染計算機硬碟上搜尋的合法郵件地址,郵件的主題、正文和附屬檔案都是變化的,附屬檔案為·pif類型檔案。
基本介紹
- 外文名:I-Worm/NetSky.aa
- 影響平台::Win9X/2000/XP/NT/Me/2003
- 危害等級::**
- 病毒類型::網路蠕蟲
I-Worm/NetSky.aa
傳播過程及特徵:
1.複製自身:
%Windir%\Winlogon.scr
2.修改註冊表:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SkynetRevenge"="%Windir%\winlogon.scr"
3.如果檔案名稱不包含"scr"字元串,會顯示標題為Error,內容為:Out of system memory 的信息框。
4.遍歷從C到Z所有硬碟下.eml .txt .php .cfg .mbx .mdx .asp .wab .doc .vbs .rtf .uin .shtm .cgi .dhtm .abd
.tbb .dbx .pl .htm .html .sht .oft .msg .ods .stm .xls .jsp .wsh .xml .mht .mmf .nch .ppt等類型檔案,搜尋有效的郵件地址,並利用自帶的SMTP引擎傳送自身到上述地址以及[email protected],郵件主題、正文和附屬檔案都是變化的。此外,蠕蟲試圖利用郵件地址默認的DNS伺服器,否則使用自帶的DNS。
5.為安全起見,蠕蟲會自動避開國內外安全信息產商,對於包含下列字元的地址不予傳送病毒。
icrosoft
antivi
ymantec
spam
avp
f-secur
itdefender
orman
cafee
aspersky
f-pro
orton
fbi
abuse
messagelabs
skynet
andasoftwa
freeav
sophos
antivir
iruslis
註:%Windir%為變數,一般為C:\Windows 或 C:\Winnt;
%System%為變數,一般為C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000),
或 C:\Windows\System32 (Windows XP)。