基本介紹
- 中文名:I-Worm/NetSky.k
- 前身:網路天空
- 類型:計算機病毒
- 傳播途徑:群發郵件
運行過程
1.將病毒自身複製到Windows的安裝路徑下(默認為Windows或者Winnt),檔案名稱為Winlogon.exe。
2.在系統註冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加
"ICQ Net" = "%Windir%\winlogon.exe -stealth"鍵值,以使生成的病毒體檔案可以與Windows系統一同啟動,
3.刪除註冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下的鍵值
"Taskmon" "Explorer" "KasperskyAv" "system." "msgsvr32"
"DELETEME" "service" "Sentry" "Windows Services Host"
4.刪除下列註冊表鍵值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的System.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的"Taskmon" "Explorer" "KasperskyAv" "d3dupdate.exe" "au.exe"
"OLE" "Windows ervices Host"
5.刪除下列註冊表子鍵:
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\PINF
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WksPatch
.dhtm .cgi .shtm .msg .oft .sht .dbx .tbb .adb
.doc .wab .asp .uin .rtf .vbs .html .htm .pl .php
.txt .eml
7.利用自身的SMTP引擎向所有找到的Email地址傳送帶有病毒的電子郵件,每個地址將傳送一次。病毒試圖得到本地DNS(通過調用API函式),如果得到則針對收信人進行MX查詢,否則使用病毒自帶的DNS.
8.病毒還會自動的避免向各個防毒廠商傳送所帶病毒郵件.
9.如果被感染計算機的系統時間是2004年3月2日的上午6點和9點之間,病毒會使計算機的喇叭不停地發出響聲。
10.病毒的郵件主題、內容和附屬檔案都是可變的,其附屬檔案為.pif檔案。
