I-Worm/Netsky.p

I-Worm/Netsky.p用UPX壓縮過的郵件群發蠕蟲,利用自帶的SMTP引擎傳送自身到從硬碟和網路映射驅動器上找到的郵件地址。郵件的發件人是偽造的,主題和正文都是可變的。

基本介紹

  • 中文名:I-Worm/Netsky.p
  • 病毒長度:16,384 bytes
  • 病毒類型網路蠕蟲
  • 危害等級:**
基本信息,傳播過程,

基本信息

影響平台:Win9X/2000/XP/NT/Me/2003

傳播過程

1.複製自身為:%Windir%\AVBgle.exe
2.生成檔案:%Windir%\base64.bmp -- 22,456 bytes
3.修改註冊表:
/添加鍵值:"MSInfo"="%Windir%\AVBgle.exe"到註冊表啟動項:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下
/刪除註冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的鍵值:
Explorer
system.
msgsvr32
au.exe
service
DELETE ME
d3dupdate.exe
Sentry
Taskmon
Windows Services Host
/刪除註冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices下的值system。
/刪除註冊表HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的值:
Explorer
OLE
gouday.exe
rate.exe
Taskmon
Windows Services Host
sysmon.exe
srate.exe
ssate.exe
/刪除註冊表HKEY_CLASSES_ROOT\CLSID\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}下的值:InProcServer32
/刪除子鍵:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\PINF
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WksPatch
4.掃描從C到Z驅動器下的下列類型檔案,用以發現合法的郵件地址。
.adb .asp .cgi .dbx .dhtm .doc .eml .htm .html
.jsp .msg .oft .php .pl .rtf .sht .shtm .tbb
txt .uin .vbs .wab .wsh .xml
並用自帶的SMTP引擎傳送自身到發現的所有郵件地址:
郵件特徵:
發件人:偽造
主題:下列之一
Re: Encrypted Mail
Re: Extended Mail
Re: Status
Re: Notify
Re: SMTP Server
Re: Mail Server
Re: Delivery Server
Re: Bad Request
Re: Failure
Re: Thank you for delivery
Re: Test
Re: Administration
Re: Message Error
Re: Error
Re: Extended Mail System
Re: Secure SMTP Message
Re: Protected Mail Request
Re: Protected Mail System
Re: Protected Mail Delivery
Re: Secure delivery
Re: Delivery Protection
Re: Mail Authentification
附屬檔案:下列之一
readme.pif
document.pif
data.pif
details.pif
msg.pif
message.pif

相關詞條

熱門詞條

聯絡我們