Worm/NetSky.ab

該病毒在感染計算機的硬碟和網路映射驅動器上搜尋電子郵件地址,利用其自帶的SMTP引擎通過傳送電子郵件傳播。

基本介紹

  • 外文名:Worm/NetSky.ab
  • 傳播方式:網路
  • 病毒類型網路蠕蟲
  • 病毒大小:17920位元組
簡介,特徵,

簡介

I-Worm/NetSky.ab
該病毒在感染計算機的硬碟和網路映射驅動器上搜尋電子郵件地址,利用其自帶的SMTP引擎通過傳送電子郵件傳播。帶毒電子郵件的主題、內容和附屬檔案名稱隨機變化。

特徵

具體技術特徵如下:
1.病毒運行後,將自身複製為%WinDir%\csrss.exe
2.在註冊表啟動項HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run下創建:
"BagleAV" = %WinDir%\csrss.exe
這樣,病毒在Windows啟動時就得以運行。
3.刪除I-Worm/BBeagle.w的註冊表啟動項,病毒源碼中繼續向BBeagle作者挑釁:
“Hey Bagle, feel our revenge!”
4.遍歷盤符從C到Z的所有驅動器(光碟驅動器除外),在下列種類的檔案中搜尋合法電子郵件地址:
.a .ad .adb .as .asp .c .cf .cfg .cg .cgi .d .db
.dbx .dh .dht .dhtm .do .doc .e .em .eml .h .ht
.htm .html .j .js .jsp .m .mb .mbx .md .mdx .mh
.mht .mm .mmf .ms .msg .n .nc .nch .o .od .ods
.of .oft .p .ph .php .pl .pp .r .rt .rtf .s .sh
.sht .shtm .st .stm .t .tb .tbb .tx .txt .u .ui
.uin .v .vb .vbs .w .wa .wab .ws .wsh .x .xl
.xls .xm .xml
5.病毒利用其攜帶的SMTP引擎,傳送帶毒郵件。發信時會自動過濾掉多家反病毒和信息安全機構的信箱地址。
6.帶毒信件特徵如下:
發件人:<偽造>
主題:下列標題之一
Correction
Hurts
Privacy
Password
Wow
Criminal
Pictures
Text
Money
Stolen
Found
Numbers
Funny
Only love?
More samples
Picture
Letter
Question
Illegal
附屬檔案是.pif檔案,就是病毒程式,可能的檔案名稱有:
corrected_doc.pif
hurts.pif
document1.pif
passwords02.pif
image034.pif
myabuselist.pif
your_picture01.pif
your_text01.pif
your_letter.pif
your_bill.pif
my_stolen_document.pif
visa_data.pif
pin_tel.pif
your_text.pif
loveletter02.pif
all_pictures.pif
your_letter_03.pif
your_picture.pif
abuses.pif
註:%Windir%為變數,一般為C:\Windows 或 C:\Winnt;
%System%為變數,一般為C:\Windows\System (Windows 95/98/Me),
C:\Winnt\System32 (Windows NT/2000), 或
C:\Windows\System32 (Windows XP)。

相關詞條

熱門詞條

聯絡我們