Worm.NetSky.S

病毒別名：W32.Netsky.R@mm [Symantec] WORM_NETSKY.R [Trend] Worm.NetSky.s.enc [瑞星] I-Worm/NetSky.s [江民]

處理時間：

中文名稱：

影響系統：Win9x/WinMe/WinNT/Win2000/WinXP/Win2003

發作條件慨探烏:

系統修改:

A、將以下檔案拷貝至系統安裝目錄：

%SystemRoot%PandaAVEngine.exe

%SystemRoot% emp09094283.dll

%SystemRoot%uinmzertinmds.opm(該檔案包含MIME編碼的該蠕蟲病毒)

B、在註冊表主鍵：淚拘拜店

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

下添加以下鍵值：

"PandaAVEngine" = "%SystemRoot%PandaAVEngine.exe"

從註冊表主鍵：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

下刪除以下鍵值(如果存在)：

Explorer

system.

msgsvr32

winupd.exe

direct.exe

jijbl

Video

service

Delete Me

Sentry

Taskmon

Windows Services Host

Microsoft IE Execute shell

Winsock2 driver

ICM version

Microsoft System Checkup

從註冊表主鍵：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices

下刪除以下鍵值：

system.

Video

yeahdude.exe

Microsoft System Checkup

從剃櫻抹夜註冊表主鍵：

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun

下刪除以下鍵值：

Explorer

au.exe

direct.exe

d3dupdate.exe

OLE

gouday.exe

rate.exe

Taskmon

Windows Services Host

sysmon.exe

srate.exe

ssate.exe

winupd.exe

Winsock2 driver

刪除以謎騙下子鍵：

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersion

ExplorerPINF

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWksPatch

HKEY_CLASSES_ROOTCLSIDCLSID

InProcServer32

發作現象:

特別說明:

A、創建一個名為“89845848594808308439858307378280987074387498739847”的互照察臭斥體以只允許該病毒的一個實例運行；

B、掃描C-Z盤，從以下後綴的檔案中搜尋Email地址：

.eml

.txt

.php

.asp

.wab

.doc

.sht

.oft

.msg

.vbs

.rtf

.uin

.shtm

.cgi

.dhtm

.adb

.tbb

.dbx

.pl

.htm

.html

.jsp

.wsh

.xml

.cfg

.mbx

.mdx

.mht

.mmf

.nch

.ods

.stm

.xls

.ppt

C、通過淚捆捉使用其自帶的SMTP引擎來向搜尋到的郵件地址傳送其自身的拷貝。傳送的郵件具放嚷說有以下特徵：

發件人: <欺騙性的詞語>

主題:

RE: Document [X]

(X表示一個隨機數字)

正文:

Excuse me,

the important document is attached,

Your sincerely

附屬檔案:

Document[X].pif

rate.exe

Taskmon

Windows Services Host

sysmon.exe

srate.exe

ssate.exe

winupd.exe

Winsock2 driver

刪除以下子鍵：

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersion

ExplorerPINF

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWksPatch

HKEY_CLASSES_ROOTCLSIDCLSID

InProcServer32

發作現象:

特別說明:

A、創建一個名為“89845848594808308439858307378280987074387498739847”的互斥體以只允許該病毒的一個實例運行；

B、掃描C-Z盤，從以下後綴的檔案中搜尋Email地址：

.eml

.txt

.php

.asp

.wab

.doc

.sht

.oft

.msg

.vbs

.rtf

.uin

.shtm

.cgi

.dhtm

.adb

.tbb

.dbx

.pl

.htm

.html

.jsp

.wsh

.xml

.cfg

.mbx

.mdx

.mht

.mmf

.nch

.ods

.stm

.xls

.ppt

C、通過使用其自帶的SMTP引擎來向搜尋到的郵件地址傳送其自身的拷貝。傳送的郵件具有以下特徵：

發件人: <欺騙性的詞語>

主題:

RE: Document [X]

(X表示一個隨機數字)

正文:

Excuse me,

the important document is attached,

Your sincerely

附屬檔案:

Document[X].pif