I-Worm/Netsky.ac利用自帶的SMTP引擎群發郵件進行傳播,郵件地址是從感染病毒的計算機上除光碟外的所有驅動器上搜尋的,郵件的發件人、正文和附屬檔案都是變化的,此病毒經PECompact壓縮過。
基本介紹
- 中文名:I-Worm/Netsky.ac
- 病毒長度:18,432 bytes 、 36,864 bytes
- 病毒類型:網路蠕蟲
- 影響平台:Win9X/2000/XP/NT/Me/2003
I-Worm/Netsky.ac
病毒長度:18,432 bytes 、 36,864 bytes
病毒類型:網路蠕蟲
危害等級:**
影響平台:Win9X/2000/XP/NT/Me/2003
傳播過程及特徵:
首先複製自身為:%Windir%\comp.cpl,插入並執行蠕蟲模組檔案:%Windir%\wserver.exe,一旦此檔案被執行,將有如下操作:
1.複製自身為:%Windir%\wserver.exe
2.修改註冊表:
值:"ssgrate.exe" 、 "drvsys.exe" 和 "Drvddll_exe等。
3.遍歷從C到Z的驅動器(除光碟外),從下列類型檔案中搜尋有效的郵件地址:
.eml .txt .php .cfg .mbx .mdx .asp .wab .doc .vbs
.rtf .uin .shtm .cgi .dhtm .adb .tbb .dbx .pl
.htm .html .sht .oft .msg .ods .stm .xls .jsp
.wsh .xml .mht .mmf .nch .ppt
4.試圖用默認的DNS得到郵件伺服器的IP位址,否則便用自帶的DNS:
212.44.160.8
195.185.185.195
151.189.13.35
213.191.74.19
193.189.244.205
145.253.2.171
193.141.40.42
193.193.144.12
217.5.97.137
195.20.224.234
194.25.2.130
194.25.2.129
212.185.252.136
212.185.253.70
212.185.252.73
62.155.255.16
194.25.2.134
194.25.2.133
194.25.2.132
194.25.2.131
193.193.158.10
212.7.128.165
212.7.128.162