|
 | 作者: BRIDEX [bridex]
 论坛用户 |
登录 |
| 2004-03-03 16:22:39 【赛迪网讯】病毒名:Win32.Netsky.D 别名:I-Worm.NetSky.d (Kaspersky), W32/Netsky.d@MM (McAfee), WORM_NETSKY.D (Trend) 种类:Win32 类型:蠕虫 传播性:高 破坏性:低 普及度:高 特征: Win32.Netsky.D是一种通过邮件和对等网的共享传播的蠕虫病毒。病毒是大小为17,424字节的可执行文件, 感染方式: 当病毒运行时它建立一个叫"[SkyNet.cz]SystemsMutex",的互斥体,来确保同时只有一个Netsky.D在运行。 病毒拷贝自己到: %Windows%WINLOGON.EXE 病毒修改注册表来使自己能在WINDOWS启动时自动启动: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunICQ Net = "%Windows%winlogon.exe -stealth" 注释:’%system’是一个可变的目录。蠕虫根据被感染机器的操作系统决定当前的系统文件夹。默认情况下, WIN2000和NT的安装位置是C:WINNTSYSTEM32 ;95,98和ME的是c:windowssystem;xp的是c:windowssystm32. 传播方式: Netsky.D在以下扩展名的文件中查找邮件地址: eml txt php pl htm html vbs rtf uin asp dhtm wab doc adb tbb dbx sht oft msg shtm cgi 它避免使用以下字符串: icrosoft antivi ymantec spam avp f-secur itdefender orman cafee aspersky f-pro orton fbi abuse 病毒查找驱动器C到Z,但不会搜索光驱。 病毒利用自己的SMTP引擎发送邮件。邮件主题从下边这些里边选择: Re: Document Re: Re: Document Re: Re: Thanks! Re: Thanks! Re: Your document Re: Here is the document Re: Your picture Re: Re: Message Re: Hi Re: Hello Re: Re: Re: Your document Re: Here Re: Your music Re: Your software Re: Approved Re: Details Re: Excel file Re: Word file Re: My details Re: Your details Re: Your bill Re: Your text Re: Your archive Re: Your letter Re: Your product Re: Your website 邮件内容从这个列表里选择: Your document is attached. Here is the file. See the attached file for details. Please have a look at the attached file... Please read the attached file. Your file is attached. 可能的附件名: your_document.pif your_document.pif document.pif message_part2.pif your_document.pif document_full.pif your_picture.pif message_details.pif your_file.pif your_picture.pif document_4351.pif yours.pif mp3music.pif application.pif all_document.pif my_details.pif document_excel.pif document_word.pif my_details.pif your_details.pif your_bill.pif your_text.pif your_archive.pif your_letter.pif your_product.pif your_website.pif 病毒建立8线程来进行邮件的发送,这样能提高病毒的传播速度。 蠕虫用会尝试使用本地的DNS服务器来决定目标地址的邮件服务器地址。如果病毒没能使用DNS服务器,那么它会在自己带的一个列表里查找。 危害: 病毒删除以下注册表键值,这些键值都是和别的病毒有关的: HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunTaskmon HKCUSOFTWAREMicrosoftWindowsCurrentVersionRunTaskmon HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunExplorer HKCUSOFTWAREMicrosoftWindowsCurrentVersionRunExplorer HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunKasperskyAv HKCUSOFTWAREMicrosoftWindowsCurrentVersionRunKasperskyAv HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunsystem. HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunmsgsvr32 HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunDELETE ME HKCUSOFTWAREMicrosoftWindowsCurrentVersionRund3dupdate.exe HKCUSOFTWAREMicrosoftWindowsCurrentVersionRunau.exe HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunservice HKCUSOFTWAREMicrosoftWindowsCurrentVersionRunOLE HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunSentry HKCUSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Services Host HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Services Host HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunServicessystem. 病毒删除带以下字段的注册表键值: HKCRCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32 HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerPINF HLKMSystemCurrentControlSetServicesWksPatch 发出噪音: 如果系统日期是2004年3月2日,时间是6,7,8点,病毒能让机器发出嘟嘟声,间隔在0。5秒左右。 检测/清除 KILL安全胄甲inoculateIT v23.64.23 vet 11.4x/8178 版及kill98/2000 46.23可检测/清除此病毒。  网络上又多了一个害人的代码..... |
| 地主 发表时间: 04-03-05 20:53 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 病毒专区
标题: “蠕虫”来袭Win32.Netsky.D病毒全解析