基本介紹
- 中文名:Win32.Netsky.P
- 病毒屬性:蠕蟲病毒
- 危害性:中等危害
- 流行程度:高
具體介紹,傳播方式,通過郵件傳播,通過檔案共享傳播,危害,
具體介紹
病毒建立的DLL檔案中是病毒的代碼。
當病毒運行時它建立一個叫"'D'r'o'p'p'e'd'S'k'y'N'e't'",的互斥體,來確保同時只有一個Netsky.P在運行。
病毒拷貝自己到:
%Windows%\ FVProtect.exe
病毒會把代碼解密,然後寫到:
%Windows%\userconfig9x.dll
病毒首先執行DLL檔案的第一個功能。然後DLL檔案就會繼續執行。
病毒修改註冊表來使自己能在WINDOWS啟動時自動啟動:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Norton Antivirus AV = "%Windows%\FVProtect.exe"
DLL會建立另外一個互斥體"_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_".它會建立許多其他檔案來傳播自己:
■ %Windows%\base64.tmp
......
■ %Windows%\zip3.tmp
注釋:’%windows%’是一個可變的目錄。蠕蟲根據被感染機器的作業系統決定當前的系統資料夾。默認情況下, WIN2000和NT的安裝位置是C:\WINNT ;95,98和ME的是c:\windows;xp的是c:\windows.
傳播方式
通過郵件傳播
病毒利用自己的SMTP引擎傳送郵件。郵件的發件人地址和收件人地址都使用搜尋到的郵件地址,或者發件人地址使用[email protected].
Netsky.P可以用不同的主題,內容,附屬檔案名來構造一個郵件。郵件主題從下邊這些裡邊選擇:
Re: Encrypted Mail
Re: Extended Mail
......
important
read it immediately
郵件內容從這個列表里選擇:
Please confirm my request.
......
You have received an extended message. Please read the instructions.
內容的後邊可能會加上下邊的內容:
+++ Attachment: No Virus found
......
++++ Norton AntiVirus - www.symantec.de可能的附屬檔案名:
message
......
readme
當附屬檔案是個執行檔的時候,附屬檔案名可能是帶一個或者兩個擴展名。如果是兩個擴展名的話,那么第一個擴展名是.txt或者.doc
最後的擴展名是:
.pif,.exe,.scr
兩個擴展名之間會有多個空格。
當附屬檔案是個ZIP檔案時,那么附屬檔案的擴展名是.ZIP.檔案名稱是:
document.txt .exe
data.rtf .scr
details.txt .pif
病毒會在附屬檔案名的後邊加上"_"。比如,當傳送給[email protected]時,那么附屬檔案名是"msg_tester.zip".
下邊是個例子:
主題:
Mail Delivery (failure )
內容:
If the message will not displayed automatically,
......
www./inbox//read.php?sessionid-
附屬檔案:
message.scr
郵件的內容是HTML檔案,當查看附屬檔案後,附屬檔案就會運行。詳細資訊請查閱:
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
下邊是個 蠕蟲生成的郵件的例子:
為了收集郵件地址,Netsky.P 搜尋驅動器C到Z中以下擴展名的檔案,但是不搜尋光碟機:
adb
......
vbs
wab
病毒會避免搜尋帶以下後綴的地址:
@microsof
......
reports@
通過檔案共享傳播
在搜尋郵件地址的過程中,Netsky.P會查找已分享資料夾,比如通過KAZAA共享的檔案。
病毒會用以下名字拷貝自己到這些目錄:
12.82.159.180
......
kazaa
shared files
在每個匹配的目錄里,病毒會用以下檔案名稱把自己拷貝進去:
he Sims 4 beta.exe
......
Kazaa Lite 4.0 new.exe
危害
病毒會移除以下由別的 蠕蟲產生的註冊表鍵值:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Explorer
......
HKLM\System\CurrentControlSet\Services\WksPatch