基本介紹
簡介,編寫工具,系統修改,
簡介
病毒別名:WORM_NETSKY.T [Trend] W32/Netsky.t@MM [McAfee] W32.Netsky.T@mm [Symantec] W32/Netsky-T [Sop
影響系統:Win9x/Win2000/WinXp/Windows Server 2003
病毒行為:
網路天空家族
編寫工具
VC編寫
傳染條件:
發作條件:
運行時發作
系統修改
A、創建以下互訴體,確保病毒只有一個進程在運行
Protect_USUkUyUnUeUtU_Mutex
SyncMutex_USUkUyUnUeUtU
B、自我複製到系統安裝目錄:
%Windir%EasyAV.exe
(其中,%Windir%在Windows 95/98/Me下為C:Windows,在Windows NT/2000下為C:Winnt,在Windows XP下為 C:Windows)
C、病毒會在系統安裝目錄釋放以下檔案:
UINMZERTINMDS.OPM 該檔案是病毒編碼後的複本
D、添加以下鍵值
"EasyAV"="%Windir%EasyAV.exe"
到
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
以便病毒可隨機自啟動
E、病毒在6789連線埠開後門,如果有攻擊者利用該連線埠傳送一個執行檔到病毒感染的系統,病毒會將該檔案保存為一個隨機檔案名稱的EXE檔案,並立即執行它。可使系統感染其它類型的病毒
F、病毒在2004年4月14日到2004年4月23日對以下網址時行DoS攻擊
www.cracks.am
www.emule.de
www.kazaa.com
www.freemule.net
www.keygen.us
G、病毒掃描驅動器C到Z,並從具有以下後綴名的檔案中收集郵件地址:
.eml 、.txt 、.php 、.asp 、.wab 、.doc 、.sht 、.oft 、.msg 、.vbs 、.rtf 、.uin 、.shtm 、.cgi 、.dhtm 、.adb 、.tbb 、.dbx 、.pl 、.htm 、.html 、.jsp 、.wsh 、.xml 、.cfg 、.mbx 、.mdx 、.mht 、.mmf 、.nch 、.ods 、.stm 、.xls 、.ppt
H、如果系統日期不為2004年4月,或日小於14日或大於16日病毒會嘗試使用自己的SMTP發信引擎利用搜尋到的郵件地址傳送病毒郵件;
以下是郵件特徵:
發件人: <從收集的郵件地址中選擇>
主題: (從以下選擇任意字元串)
Hello!
Hi!
Re: Important
Important
Re: My details
My details
Re: Your information
Your information
Re: Your details
Your details
Re: Your document
Your document
Re: Request
Request
Re: Thanks you!
Thank you!
Re: Approved
Approved
Re: Hello
Re: Hi
Hello
Approved file
List
Corrected document
Archive
Abuse list
Presentation document
Instructions
Details
Improved document
Note
Message
Contact list
Number list
File
Secound document
Improved file
User list
Textfile
New document
Text
Information
Info
Word document
Excel document
Powerpoint document
Detailed document
Homepage
Letter
Mail
Document
Old document
Approved document
Movie document
Picture document
Summary
Description
Requested document
Notice
Bill
Answer
Release
Final version
Diggest
Important document
Order
Photo document
Personal message
Phone number
E-mail
Icq number
Report
Story
Concept
Developement
Sample
Postcard
Account
附屬檔案名:
<隨機名>[隨機數字].pif
<隨機名>可能為以下字元串之一
approved_file
list
corrected_document
archive
abuse_list
presentation_document
instructions
details
improved_document
note
message
contact_list
number_list
file
secound_document
improved_file
user_list
textfile
new_document
text
information
info
word_document
excel_document
powerpoint_document
detailed_document
homepage
letter
mail
document
old_document
approved_document
movie_document
picture_document
summary
description
requested_document
notice
bill
answer
release
final_version
diggest
important_document
order
photo_document
personal_message
phone_number
e-mail
icq_number
report
story
concept
developement
sample
postcard
account
內容:
第一部份可能為以下字元串之一
Hi!
Hello!
第二部份可能為以下字元串之一
Note that I have attached your document.
My <附屬檔案的檔案名稱>.
The <附屬檔案的檔案名稱>.
I have spent much time for the <附屬檔案的檔案名稱>.
I have spent much time for your document.
Your <附屬檔案的檔案名稱>.
Please notice the attached <附屬檔案的檔案名稱>.
Please notice the attached document.
Please read quickly.
For more details see the attached document.
For more information see the attached document.
Approved, here is the document.
I have found the <附屬檔案的檔案名稱>.
My <附屬檔案的檔案名稱> is attached.
Your <附屬檔案的檔案名稱> is attached.
Please, <附屬檔案的檔案名稱>.
Your file is attached to this mail.
Please read the attached document.
Please have a look at the attached document.
See the document for details.
Here is the document.
The requested <附屬檔案的檔案名稱> is attached!
I have sent the <附屬檔案的檔案名稱>.
Please see the <附屬檔案的檔案名稱>.
The <附屬檔案的檔案名稱> is attached.
Here is the <附屬檔案的檔案名稱>.
Please have a look at the <附屬檔案的檔案名稱>.
Please read the <附屬檔案的檔案名稱>.
第三部份可能為以下字元串之一
Yours sincerely
Thank you
Thanks
發作現象:
特別說明: