基本介紹
- 中文名:I-Worm/NetSky.q
- 病毒類型::網路蠕蟲
- 病毒長度::29,568 bytes
- 影響平台::Win9x/Me/2000/2003/XP/NT
I-Worm/NetSky.q
其傳播過程及特徵如下:
1.在安裝目錄下:拷貝自身為FVProtect.exe;置入檔案userconfig9x.dll,裝載後運行;生成base64.tmp、zip1.tmp、zip2.tmp、zipped.tmp等檔案
2.修改註冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加"Norton Antivirus AV"="%Windir%\FVProtect.exe"
刪除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的Explorer,system.,msgsvr32,winupd.exe,direct.exe,
jijbl ,service,Sentry等鍵值
刪除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices下的systme和video 鍵值
刪除HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的Explorer,au.exe,direct.exe,d3dupdate.exe,OLE
gouday.exe,rate.exe,Taskmon,Windows Services Host,sysmon.exe ,
srate.exe,ssate.exe ,winupd.exe等鍵值
刪除HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\PINF子鍵
刪除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WksPatch子鍵
刪除HKEY_CLASSES_ROOT\CLSID\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32子鍵
3.掃描硬碟驅動器下包含下列字元串的資料夾:bear,donkey,download,ftp,htdocs,
http,icq,kazaa,lime,morpheus,mule,my,shared,folder,
shar,shared,iles,upload。蠕蟲被複製到這些資料夾下。
4.利用其自身的SMTP引擎向搜尋到的電子郵件地址傳送帶毒郵件。信件特徵如下:
發信人:<偽造>
主題:<不一定>
附屬檔案:以.pif,.exe或.zip為擴展名的檔案
此外蠕蟲會自動避免向國內外防毒廠商傳送郵件
