"网络天空"新变种X(NetSky.x)

来自WordPress中文文档
跳转至: 导航搜索

病毒信息:

  病毒名称: Worm.Netsky.x   中文名称: 网络天空变种X   威胁级别: 3C   病毒别名:Win32/Netsky.w@mm[norton]        I-Worm.NetSky.X[AVP]   病毒类型:蠕虫   受影响系统: Windows 95, 98, ME, NT, 2000, XP


  传染条件:

  1、利用自身的SMTP发信引擎来发送病毒邮件,疯逛传播自己;

  2、终于知名的反病毒软件和安全软件,降低系统安全性;

  3、开启后门,等待攻击者连接,可自动下载并执行新的病毒。

  技术特点:

1、当病毒获得运行后,向%system32%目录释放 VISUALGUARD.EXE(为蠕虫自身拷贝)

2、生成下列文件到%system32%目录 BASE64.TMP ZIP1.TMP ZIP2.TMP ZIP3.TMP ZIP4.TMP ZIP5.TMP ZIP6.TMP ZIPPED.TMP 这些是病毒发信时所必需的文件构成部分

3、通过向注册表添加以下键值而获得自动运行: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run NetDy = %Windows%\VISUALGUARD.EXE

4、通过搜索本地硬盘扩展名为以下内容的文件内容而获得邮件地址: .htm .html .eml .txt .php .asp .wab .doc .vbs .rtf .uin .shtm .cgi .dhtm .adb .tbb .dbx .sht .oft .msg .jsp .wsh .xml

5、通过自己的发信引擎向搜索到的邮件地址发送病毒邮件,内容为: 发件人: <具有欺骗性的地址>

标题:(随机选取其一) Re: Re: Re:

hi hello thanks! approved corrected patched improved important read it immediately

邮件内容:(随机选取其一) (内容第一部分) Please read the attached file. Your document is attached. Please read the document. Your file is attached. Your document is attached. Please confirm the document. Please read the important document. See the file. Requested file. Authentication required. Your document is attached to this mail. I have attached your document. I have received your document. The corr... Your document. Your details.

(内容第二部分)


No virus found

Powered by the new Norton OnlineScan Get protected: www.symantec.com 附件名称为:<随机字符串><随机数字>.PIF

随机字符串内容: file details information letter product website application screensaver bill word document excel document data message text document_all

邮件附件为蠕虫体的一个拷贝的MIME编码文件。扩展名为: .PIF .EXE .SCR .ZIP

6、后门部分: 随机开启一个TCP/IP端口进行监听,这个后门可以被攻击者利用,例如: 上传并运行一个可执行文件。

7、删除下列注册表键值,以阻止一部分病毒防火墙,系统程序,和其它病毒(病毒作者的对手)的运行: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run Explorer System. Msgsvr32 Service DeleteMe Sentry Taskmon Windows Services Host

8、同时删除下列注册表键值: HKEY_CLASSES_ROOT\CLSID\\ InProcServer32

HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Explorer\PINF

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WksPatch

9、病毒带有下列字符串: <*>NetDy: Thanks to the SkyNet alias NetSky crew for the sourcecode. <*>NetDy: We have rewritten NetSky. <*>NetDy: Thats a good tactic to detroy the bagle and mydoom worms. <*>NetDy: Our group will continue the war. <*>NetDy: Malware writers 'End' comes true. <*>NetDy: Our Social Engineering is the best *lol* (You have no virus symantec says!). <*>NetDy: ------------------------------------------------------------------------- <*>NetDy: We are greeting all russia people! USA SUCKS!!! AFGHAN SUCKS 2!!! BURN, SADDAM! BURN IN HELL! AND YOU, OSAMA BIN LADEN, BURN IN THE DEVILS FIRE 2!!! SHAME ON YOU MR. BUSH!!! YOURS SINCERELY: H. ---> THIS IS A MESSAGE FROM: Skynet.cz-FANATICON

10、同时向chris_sexana@aol.com发送一封邮件,向病毒作者通知被控机器的情况。

  解决方案:

  · 请使用金山毒霸2004年04月22日的病毒库可完全处理该病毒;

  ·请不要轻易点击陌生人的邮件以及下载和运行所带附件,在运行可疑附件前最好先用毒霸扫描;

  · 手工解决方案:      首先,若系统为WinXP,则请先关闭系统还原功能;   (毒霸论坛:反病毒可能需要用到的方法及操作 > 如何禁用Win Me/XP的“系统还原”功能)

  对于系统是Win9x/WinMe:

  步骤一,删除病毒主程序   请使用干净的系统软盘引导系统到纯DOS模式,然后转到系统目录(默认的系统目录为   C:\windows),分别输入以下命令,以便删除病毒程序:    C:\windows\>del VISUALGUARD.EXE   C:\windows\>delBASE64.TMP   C:\windows\>delZIP1.TMP   C:\windows\>delZIP2.TMP   C:\windows\>delZIP3.TMP   C:\windows\>delZIP4.TMP   C:\windows\>delZIP5.TMP   C:\windows\>delZIP6.TMP   C:\windows\>delZIPPED.TMP   完毕后,取出系统软盘,重新引导到Windows系统。   如果手中没有系统软件盘,可以在引导系统时按“F5”键也可进入纯DOS模式;

  步骤二,清除病毒在注册表里添加的项   打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter;   在左边的面板中, 双击(按箭头顺序查找,找到后双击):   HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  在右边的面板中, 找到并删除如下项目:   "NetDy"="%Windir%\VISUALGUARD.EXE"    关闭注册表编辑器。


  对于系统是Windows NT, Windows 2000, Windows XP, Windows 2003 Sever:

  步骤一,使用进程序管里器结束病毒进程   右键单击任务栏,弹出菜单,选择“任务管理器”,调出“Windows任务管理器”窗口。在任   务管理器中,单击“进程”标签,在例表栏内找到病毒进程“VISUALGUARD.exe”,单击“结束   进程按钮 ”,点击“是”,结束病毒进程,然后关闭“Windows任务管理器”;

  步骤二,查找并删除病毒程序   通过“我的电脑”或“资源管理器”进入系统目录(Winnt或windows),找到病毒主程序文件   “VISUALGUARD.exe”以及“ BASE64.TMP、ZIP1.TMP、ZIP2.TMP、ZIP3.TMP、ZIP4.TMP、    ZIP5.TMP、ZIP6.TMP、ZIPPED.TMP”,将它们删除;

  步骤三,清除病毒在注册表里添加的项   打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter;   在左边的面板中, 双击(按箭头顺序查找,找到后双击):    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run    在右边的面板中, 找到并删除如下项目:    "NetDy"="%Windir%\VISUALGUARD.exe"   关闭注册表编辑器.