"网络天空"变种D

来自WordPress中文文档
跳转至: 导航搜索

病毒信息   病毒名称: Worm.Netsky.D   中文名称: 网络天空变种D   威胁级别: 3A   病毒别名:     “网络天下”     WORM_NETSKY.D [Trend]     W32/Netsky@MM [McAfee]     W32/Netsky.D.worm [Panda]     W32/Netsky-D [Sophos]   I-Worm.Netsky.d [Kaspersky]   病毒类型: 蠕虫   受影响系统: Win9x/Win2000/WinXP/Windows Server 2003


   技术特点

  1、传染条件:   利用邮件高速传播,造成邮件服务不堪重负,出现不稳定或瘫痪的现象。

  2、系统修改:   A、建立互斥体“"[SkyNet.cz]SystemsMutex”,使病毒只有一个进程在运行。

  B、自我复制到WINDOWS安装目录:   %windir%\winlogon.exe

  C、添加以下键值   "ICQ Net" = "%Windir%\winlogon.exe -stealth"   到   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run   以便病毒可随机自启动;

  D、从以下主键中   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run   HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run   删除以下键值:   Taskmon   Explorer   Windows Services Host   KasperskyAV   病毒可清除其它的蠕虫病毒(Worm.Novarg.a、 Worm.Novarg.b、Worm.Mimail.t)所添加的键值;

  E、从以下主键中   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run   删除以下键值:   System.   gsvr32   LETE ME   Service   Sentry

  F、从以下主键中   HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除以下键值:   d3dupdate.exe   au.exe   OLE

  G、从以下主键中   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunServices

  删除以下键值:   system

  H、删除以下主键:   HKEY_CLASSES_ROOT\CLSID\\   InProcServer32   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\   Explorer\PINF   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WksPatch

  I、搜索具有以下后缀名的文件中,查找的电子邮件地址:   .dhtm .cgi .shtm .msg .oft .sht .dbx .tbb .adb .doc .wab .asp .uin .rtf .vbs .html .htm .pl .php .txt .eml

  J、使用自己的发信引擎进行发信。其邮件特征如下:

  发件人: <从搜索到的邮件地址中仍选>

  主题: (使用以下字符串中的任意)   Re: Your website ;Re: Your product ;Re: Your letter ;Re: Your archive ; Re: Your text ;Re: Your bill ;Re: Your details ;Re: My details ; Re: Word file ;Re: Excel file ;Re: Details ;Re: Approved ;Re: Your software ; Re: Your music ;Re: Here ;Re: Re: Re: Your document ;Re: Hello ; Re: Hi ;Re: Re: Message ;Re: Your picture ;Re: Here is the document ; Re: Your document ; Re: Thanks! ; Re: Re: Thanks! ;Re: Re: Document ; Re: Document

  内容: (使用以下字符串中的任意)   Your file is attached.   Please read the attached file.   Please have a look at the attached file.   See the attached file for details.   Here is the file.   Your document is attached.


  附件名称: (使用以下文件名中的任意)   your_website.pif ;your_product.pif ;your_letter.pif ;your_archive.pif

your_text.pif ;your_bill.pif ;your_details.pif ;document_word.pif
document_excel.pif ;my_details.pif ; all_document.pif ; application.pif
mp3music.pif ;yours.pif ;document_4351.pif ;your_file.pif ;

message_details.pif ; your_picture.pif ; document_full.pif ; message_part2.pif ; document.pif ; your_document.pif

  病毒会避免向含有以下字符串的邮件地址发送病毒邮件:   skynet ;messagelabs ;abuse ;fbi ;orton ; f-pro ; aspersky ; cafee ; orman ; itdefender ; f-secur ;avp ; spam ; ymantec ;antivi ;icrosoft;

  3、发作现象:   病毒会在2004年3月份星期二的早上6点、7点、8点控制PC喇叭发出随机的声音

解决方案   A、金山毒霸已经于3月2日对该病毒进行了应急处理,请升级最新版可完全查该病毒;

  B、请一定留意收到的邮件,如果有附件,请不要打开附件,更不要执行附件中的可执行程序,如果必须打开附件,请使用最新病毒库的反病毒软件检测后再打开;

  C、手工解决方案   步骤一,删除病毒主程序   请使用干净的系统软盘引导系统到纯DOS模式,   然后转到WINDOWS安装目录(默认的安装目录为C:\windows\),输入以下命令,以便删除病毒程序: C:\windows\>del winlogon.exe

  完毕后,取出系统软盘,重新引导到Windows系统。   如果手中没有系统软件盘,可以在引导系统时按“F5”键也可进入纯DOS模式。

  步骤二,清除病毒在注册表里添加的项   打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter;   在左边的面板中, 双击(按箭头顺序查找,找到后双击):   HKEY_LOCAL_MACHINE>Software>Windows>CurrentVersion>Run   在右边的面板中, 找到并删除如下项目:   "ICQ Net" = "%Windir%\winlogon.exe -stealth"   关闭注册表编辑器.

  对于系统是Windows NT,Windows2000,Windows XP,Windows 2003 sever   步骤一,使用进程序管里器结束病毒进程   右键单击任务栏,弹出菜单,选择“任务管理器”,调出“Windows任务管理器”窗口。在任务管理器中,单击“进程”标签,在例表栏内找到病毒进程“winlogon.exe”,单击“结束进程按钮”,点击“是”,结束病毒进程,然后关闭“Windows任务管理器”。

  步骤二,查找并删除病毒程序   通过“我的电脑”或“资源管理器”进入安装目录(Winnt或windows),找到文件“winlogon.exe ”,将它删除,注意清空回收站内的内容。

  步骤三,清除病毒在注册表里添加的项   打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter;   在左边的面板中, 双击(按箭头顺序查找,找到后双击):   HKEY_LOCAL_MACHINE>Software>Windows>CurrentVersion>Run   在右边的面板中, 找到并删除如下项目:   "ICQ Net" = "%Windir%\winlogon.exe -stealth"   关闭注册表编辑器.