|
作者: iamzhaokun [iamzhaokun] | 登录 |
国家计算机病毒应急处理中心通过对互联网的监测,发现"网络天空"出现又一变种。该变种通过邮件和共享文件夹进行传播,病毒驻留内存,修改注册表,在系统目录下创建文件,使用upx压缩。其在本地搜索邮箱地址时,排除了安全厂商及相关机构的邮箱地址,避免过早的被这些企业、机构得到样本。发送的附件格式为"附件名.txt(或 .doc)<很多连续的空格〉.exe(或.pif .scr .zip)",这样使用户误以为附件是文档文件。 病毒名称:Worm_Netsky.P("网络天空"病毒变种) 其它英文命名:网络天空变种P (Worm.NetSky.P) (金山) Worm.NetSky.m (瑞星) I-Worm/NetSky.p (江民) W32/Netsky.p@MM (McAfee) Win32.Netsky.P (Computer Associates), NetSky.P (F-Secure), W32/Netsky.P.worm (Panda), W32/Netsky-P (Sophos), WORM_NETSKY.P (Trend) W32.Netsky.P@mm (Symantec) 感染系统:Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT,Windows Server 2003, Windows XP 病毒长度:29,568字节 病毒特征: 这种新的NETSKY变种通过邮件和共享文件夹进行传播,病毒驻留内存,修改注册表,在系统目录下创建文件,使用UPX压缩。 1、生成病毒文件 在%Windows%目录下生成FVPROTECT.EXE,USERCONFIG9X.DLL。 (其中,%Windows% 是Windows的默认文件夹,通常是 C:\Windows 或 C:\WINNT) 2、修改注册表项 病毒创建注册表项,使得自身能够在系统启动时自动运行,在 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下创建 Norton Antivirus AV = "%Windows%\FVProtect.exe" 3、病毒的传播 病毒通过电子邮件和网络共享传播(详细分析见附录一、二) 4、病毒运行 当病毒发出的邮件被阅读的时候,它利用包含不正确的MIME头漏洞的IE中已知的漏洞执行病毒。 手工清除该病毒的相关操作: 1、终止病毒进程 在Windows 9x/ME系统,同时按下CTRL+ALT+DELETE,在Windows NT/2000/XP系统中,同时按下CTRL+SHIFT+ESC,选择"任务管理器--〉进程",选中正在运行的进程"FVPROTECT.EXE",并终止其运行。(我先用诺顿杀了毒,没杀完,但也没找到这个进程,不管他了) 2、注册表的恢复 点击"开始--〉运行",输入regedit,运行注册表编辑器,依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ,并删除面板右侧的Norton Antivirus AV = "%Windows%\FVProtect.exe" 3、删除病毒释放的文件 点击"开始--〉查找--〉文件和文件夹",查找文件"FVPROTECT.EXE,USERCONFIG9X.DLL",并将找到的文件删除。 4、运行杀毒软件,对系统进行全面的病毒查杀 用以上方法,我终于搞定病毒了! |
地主 发表时间: 04-06-02 23:49 |
回复: apolo [apolo] 论坛用户 | 登录 |
不错,很及时。我前天也碰到了这个病毒。我装了symantec,这个病毒被它隔离了,只是令我困惑的是不知道隔离到什么位置了。现在找也再找不到了。 |
B1层 发表时间: 04-06-03 11:07 |
回复: BrideX [bridex] 论坛用户 | 登录 |
哈,这种蠕虫。。。 估计SPANT现在的版本可以通杀。 记的安装补丁。 |
B2层 发表时间: 04-06-03 22:29 |
回复: christ_ns [christ_ns] 论坛用户 | 登录 |
谢谢!!!学到不少东西 |
B3层 发表时间: 04-06-03 23:36 |
回复: hkcc [hkcc] 论坛用户 | 登录 |
注册表是什么啊? |
B4层 发表时间: 04-06-04 17:18 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号