Win32.NetSky.r是一種木馬病毒,該病毒通過搜尋郵件地址的方式來得到發件人地址和收件人地址,或者發件人地址。
基本介紹
- 中文名:Win32.NetSky.r
- 威脅級別::★★★
- 中文名稱:網路天空
- 病毒類型:Win32病毒
基本信息,發作現象,特別說明,
基本信息
病毒別名:Win32.Netsky.Q [Kill], W32/Netsky.q@MM [McAfee]
處理時間:
威脅級別:★★★
中文名稱:網路天空
病毒類型:Win32病毒
影響系統:Win9x/WinMe/WinNT/Win2000/WinXP
病毒行為:
這個病毒利用電子郵件和已分享資料夾傳播,傳播的速度極快
該病毒利用自帶的SMTP郵件引擎傳送郵件
編寫工具:VC++6.0
傳染條件:通過郵件傳播
發作條件:無
系統修改:
將自己拷貝到%SystemRoot%SysMonXP.exe
病毒會把代碼解密,然後寫到:%SystemRoot%userconfig9x.dll
病毒首先執行DLL檔案的第一個功能,然後DLL檔案就會繼續執行
該病毒還會建立許多其他檔案來傳播自己:
%SystemRoot%ase64.tmp
%SystemRoot%zippedbase64.tmp
%SystemRoot%IPO0.TXT
%SystemRoot%IPO1.TXT
%SystemRoot%IPO2.TXT
%SystemRoot%IPO3.TXT
在註冊表主鍵:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
新建鍵值:
"SysMonXP"="%SystemRoot%SysMonXP.exe"
發作現象
當Windows運行系統目錄以外的命令時,病毒會執行下列命令:
notepad temp.eml
系統將提示錯誤信息,"temp.eml"檔案不存在
特別說明
如果日期在2004年4月8日到11日,病毒對下列地址進行攻擊:
