Worm.Netsky.d

是一種蠕蟲病毒網路天空”病毒的變種之一,於2004年3月1日被發現。影響Windows 2000, Windows 95, Windows 98, Windows Me等作業系統。該變種的一些特徵與Worm_Netsky.C相同,如windows資料夾下生成的病毒檔案名稱稱,修改註冊表鍵值已達到自啟動的目的,以及刪除的部分註冊表鍵值。

基本介紹

  • 中文名網路天空變種D
  • 外文名:Worm.Netsky.d
  • 處理時間:2004-04-12
  • 病毒類型蠕蟲
  • 病毒行為:netsky
簡介,編寫工具,病毒特徵,病毒清除,

簡介

威脅級別:★
病毒行為:
netsky

編寫工具

vc
傳染條件:
發作條件:
系統修改:
1,創建一個名為“[SkyNet.cz]SystemsMutex”的互斥體。此互斥體僅允許該蠕蟲的一個實例在記憶體中執行。
將自身複製為 %Windir%winlogon.exe。
2,將值:
"ICQ Net" = "%Windir%winlogon.exe -stealth"
添加到註冊表鍵:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
這樣,此蠕蟲便可在 Windows啟動時運行。
3,刪除以下值:
Taskmon
Explorer
Windows Services Host
KasperskyAV
這些值位於註冊表鍵:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
4,刪除以下值:
System.
msgsvr32
DELETE ME
service
Sentry
這些值位於註冊表鍵:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
5,刪除以下值:
d3dupdate.exe
au.exe
OLE
這些值位於註冊表鍵:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
6,刪除值:
System.
該值位於以下註冊表鍵:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
刪除註冊表鍵:
HKEY_CLASSES_ROOTCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerPINF
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesWksPatch

病毒特徵

1,如果時間介於 2004 年 3 月 2 日(星期二)的 6:00am 到 9:00am,PC 揚聲器將連續不斷地發出蜂鳴聲。 每次蜂鳴都將以隨機頻率、持續一段長度不等的時間。
2,在驅動器 C 到 Z 上掃描以下檔案類型,查找電子郵件地址
.dhtm
.cgi
.shtm
.msg
.oft
.sht
.dbx
.tbb
.adb
.doc
.wab
.asp
.uin
.rtf
.vbs
.html
.htm
.pl
.php
.txt
.eml
使用它自己的 SMTP 引擎將其自身傳送到在上述位置找到的電子郵件地址,向每個地址傳送一次。 該蠕蟲使用可用的本地 DNS 伺服器(通過 API 檢索),執行 MX 查找來搜尋收件人地址。 如果本地 DNS 不可用,它將對以下硬編碼的伺服器列表執行查找:
145.253.2.171
151.189.35
193.141.40.42
193.189.244.205
193.193.144.12
193.193.158.10
194.25.2.129
194.25.2.129
194.25.2.130
194.25.2.131
194.25.2.132
194.25.2.133
194.25.2.134
195.185.185.195
195.20.224.234
2185.252.136
2185.252.73
2185.253.70
244.160.8
27.128.162
27.128.165
2191.74.19
25.97.137
62.155.255.16
此類電子郵件具有以下特徵:
發件人:<欺騙性地址>
主題:(下列之一)
Re: Your website
Re: Your product
Re: Your letter
Re: Your archive
Re: Your text
Re: Your bill
Re: Your details
Re: My details
Re: Word file
Re: Excel file
Re: Details
Re: Approved
Re: Your software
Re: Your music
Re: Here
Re: Re: Re: Your document
Re: Hello
Re: Hi
Re: Re: Message
Re: Your picture
Re: Here is the document
Re: Your document
Re: Thanks!
Re: Re: Thanks!
Re: Re: Document
Re: Document
訊息:(下列之一)
Your file is attached.
Please read the attached file.
Please have a look at the attached file.
See the attached file for details.
Here is the file.
Your document is attached.
附屬檔案:(下列之一)
your_website.pif
your_product.pif
your_letter.pif
your_archive.pif
your_text.pif
your_bill.pif
your_details.pif
document_word.pif
document_excel.pif
my_details.pif
all_document.pif
application.pif
mp3music.pif
yours.pif
document_4351.pif
your_file.pif
message_details.pif
your_picture.pif
document_full.pif
message_part2.pif
document.pif
your_document.pif
3,該蠕蟲避免向包含以下字元串的地址傳送電子郵件:
skynet
messagelabs
abuse
fbi
orton
f-pro
aspersky
cafee
orman
itdefender
f-secur
avp
spam
ymantec
antivi
icrosoft

病毒清除

1、終止病毒進程
在Windows 9x/ME系統,同時按下CTRL+ALT+DELETE,在Windows NT/2000/XP系統中,同時按下CTRL+SHIFT+ESC,選擇“任務管理器--〉進程”,選中正在運行的進程“Winlogon.exe”,並終止其運行。
2、註冊表的恢復
點擊“開始--〉運行”,輸入regedit,運行註冊表編輯器,依次雙擊左側的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ,並刪除面板右側的ICQ Net = "%Windows%.exe -stealth"
3、刪除病毒釋放的檔案
點擊“開始--〉查找--〉檔案和資料夾”,查找檔案“Winlogon.exe”,並將找到的檔案刪除。
4、運行防毒軟體,對系統進行全面的病毒查殺

相關詞條

熱門詞條

聯絡我們