基本介紹
- 中文名:Worm.NetSky.S
- 病毒類型:蠕蟲
- 威脅級別:★
- 傳染條件:通過網路傳送郵件高速傳播
基本信息,病毒行為,
基本信息
處理時間:
中文名稱:
影響系統:Win9x/WinMe/WinNT/Win2000/WinXP/Win2003
病毒行為
發作條件慨探烏:
系統修改:
A、將以下檔案拷貝至系統安裝目錄:
%SystemRoot%PandaAVEngine.exe
%SystemRoot% emp09094283.dll
%SystemRoot%uinmzertinmds.opm(該檔案包含MIME編碼的該蠕蟲病毒)
B、在註冊表主鍵:淚拘拜店
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
下添加以下鍵值:
"PandaAVEngine" = "%SystemRoot%PandaAVEngine.exe"
從註冊表主鍵:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
下刪除以下鍵值(如果存在):
Explorer
system.
msgsvr32
winupd.exe
direct.exe
jijbl
Video
service
Delete Me
Sentry
Taskmon
Windows Services Host
Microsoft IE Execute shell
Winsock2 driver
ICM version
Microsoft System Checkup
從註冊表主鍵:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
下刪除以下鍵值:
system.
Video
yeahdude.exe
Microsoft System Checkup
從剃櫻抹夜註冊表主鍵:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
下刪除以下鍵值:
Explorer
au.exe
direct.exe
d3dupdate.exe
OLE
gouday.exe
rate.exe
Taskmon
Windows Services Host
sysmon.exe
srate.exe
ssate.exe
winupd.exe
Winsock2 driver
刪除以謎騙下子鍵:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersion
ExplorerPINF
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWksPatch
HKEY_CLASSES_ROOTCLSIDCLSID
InProcServer32
發作現象:
特別說明:
A、創建一個名為“89845848594808308439858307378280987074387498739847”的互照察臭斥體以只允許該病毒的一個實例運行;
B、掃描C-Z盤,從以下後綴的檔案中搜尋Email地址:
.eml
.txt
.php
.asp
.wab
.doc
.sht
.oft
.msg
.vbs
.rtf
.uin
.shtm
.cgi
.dhtm
.adb
.tbb
.dbx
.pl
.htm
.html
.jsp
.wsh
.xml
.cfg
.mbx
.mdx
.mht
.mmf
.nch
.ods
.stm
.xls
.ppt
C、通過淚捆捉使用其自帶的SMTP引擎來向搜尋到的郵件地址傳送其自身的拷貝。傳送的郵件具放嚷說有以下特徵:
發件人: <欺騙性的詞語>
主題:
RE: Document [X]
(X表示一個隨機數字)
正文:
Excuse me,
the important document is attached,
Your sincerely
附屬檔案:
Document[X].pif
rate.exe
Taskmon
Windows Services Host
sysmon.exe
srate.exe
ssate.exe
winupd.exe
Winsock2 driver
刪除以下子鍵:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersion
ExplorerPINF
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWksPatch
HKEY_CLASSES_ROOTCLSIDCLSID
InProcServer32
發作現象:
特別說明:
A、創建一個名為“89845848594808308439858307378280987074387498739847”的互斥體以只允許該病毒的一個實例運行;
B、掃描C-Z盤,從以下後綴的檔案中搜尋Email地址:
.eml
.txt
.php
.asp
.wab
.doc
.sht
.oft
.msg
.vbs
.rtf
.uin
.shtm
.cgi
.dhtm
.adb
.tbb
.dbx
.pl
.htm
.html
.jsp
.wsh
.xml
.cfg
.mbx
.mdx
.mht
.mmf
.nch
.ods
.stm
.xls
.ppt
C、通過使用其自帶的SMTP引擎來向搜尋到的郵件地址傳送其自身的拷貝。傳送的郵件具有以下特徵:
發件人: <欺騙性的詞語>
主題:
RE: Document [X]
(X表示一個隨機數字)
正文:
Excuse me,
the important document is attached,
Your sincerely
附屬檔案:
Document[X].pif