Worm.NetSky.z是一款蠕蟲病毒,影響系統:Win9xWinMeWinNTWin2000WinXPWin2003
基本介紹
- 中文名:Worm.NetSky.z
- 威脅級別:★★★
- 病毒類型:蠕蟲
- 病毒別名:W32/Netsky.y@MM
病毒簡介,病毒行為,本地行為,網路行為,預防、清除方法,
病毒簡介
[McAfee] WORM_NETSKY.Y
[Trend] Win32.Netsky.Y [
Computer Associates] W32/Netsky-X
處理時間:
中文名稱:
編寫工具:VC6.0
病毒行為
本地行為
A、在註冊表主鍵:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
下添加如下鍵值:
"Jammer2nd"="%SystemRoot%Jammer2nd.exe"
B、拷貝自己到系統安裝目錄:
%SystemRoot%Jammer2nd.exe
釋放一個它本身的MIME編碼的拷貝至系統安裝目錄:
%SystemRoot%fuck_you_bagle.txt
%SystemRoot%pk_zip1.log
%SystemRoot%pk_zip2.log
%SystemRoot%pk_zip3.log
%SystemRoot%pk_zip4.log
%SystemRoot%pk_zip5.log
%SystemRoot%pk_zip6.log
%SystemRoot%pk_zip7.log
%SystemRoot%pk_zip8.log
%SystemRoot%pk_zip_alg.log
C、創建一個名為"____--->>>>U<<<<--____" 的互斥體,只允許起一個進程運行。
網路行為
A、監聽TCP 82連線埠,等待攻擊者傳送一個執行檔。一旦檔案下載完畢,該蠕蟲就會主動運行之。
B、如果系統時間在2004年4月28日至2004年4月30日之間,該蠕蟲就會對以下網址發動DoS攻擊:
www.nibis.de
www.medinfo.ufl.edu
www.educa.ch
C、會在C至Z盤(包括光碟機)中查找一下後綴的檔案中包含的Email地址:
.eml
.txt
.php
.cfg
.mbx
.mdx
.asp
.wab
.doc
.vbs
.rtf
.uin
.shtm
.cgi
.dhtm
.abd
.tbb
.dbx
.pl
.htm
.html
.sht
.oft
.msg
.ods
.stm
.xls
.jsp
.wsh
.xml
.mht
.mmf
.nch
.ppt
D、通過其自帶的SMTP引擎傳送一個它自身的拷貝到[email protected],以及所有它搜尋到的Email地址。其傳送的郵件具有以下特徵:
發件人:<具有迷惑性的字元串>
主題: Delivery failure notice (ID-)
正文:
--- Mail Part Delivered ---
220 Welcome to
Mail type: multipart/related
--- text/html RFC 2504
MX [Mail Exchanger] mx.mt2.kl.
Exim Status OK.
message is available.
where may be one of:
New
Partial
External
Delivered
附屬檔案: www...session-.com
2185.252.73
2185.253.70
2185.252.136
194.25.2.129
194.25.2.130
195.20.224.234
25.97.137
194.25.2.129
193.193.144.12
27.128.162
27.128.165
193.193.158.10
194.25.2.131
194.25.2.132
194.25.2.133
194.25.2.134
193.141.40.42
145.253.2.171
193.189.244.205
2191.74.19
151.189.35
195.185.185.195
244.160.8
預防、清除方法
(1)禁止82連線埠
(2)不使用Outlook及OutlookExpress,不在本地保存信件。
如果不幸感染了NetSky,使用Rising、360防毒、Avira等都可以刪除該病毒。
