"网络天空"新变种Y(NetSky.y)

来自WordPress中文文档
跳转至: 导航搜索

病毒信息:

  病毒名称: Worm.Netsk.y   中文名称: 网络天空变种Y   威胁级别: 3A   病毒别名:Win32.Netsky.X [Computer Associates]        W32/NetSky.X@mm [F-Secure]        W32/Netsky.x@MM [McAfee]        W32/Netsky.X.worm [Panda]        W32/Netsky-Y [Sophos]        WORM_NETSKY.X [Trend]   病毒类型:蠕虫   受影响系统: Windows 95, 98, ME, NT, 2000, XP


  传染条件:

  1、利用自身的SMTP发信引擎来发送病毒邮件,疯逛传播自己;

  2、终于知名的反病毒软件和安全软件,降低系统安全性;

  3、开启后门,等待攻击者连接,可自动下载并执行新的病毒。

  4、对网络中的WEB服务器发起DoS(绝拒服务)攻击,造成一些网址无法访问。

  技术特点:

1、在注册表主键: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下添加如下键值: "FirewallSvr"="%Windir%\FirewallSvr.exe"

2、拷贝自己到系统安装目录: %SystemRoot%\FirewallSvr.exe

释放一个它本身的MIME编码的拷贝至系统安装目录: %SystemRoot%\fuck_you_bagle.txt

3、创建一个名为"____--->>>>U<<<<--____" 的互斥体,只允许起一个进程运行。

4、监听TCP 82端口,等待攻击者发送一个可执行文件。一旦文件下载完毕,该蠕虫就会主动运行之。

5、如果系统时间在2004年4月28日至2004年4月30日之间,该蠕虫就会对以下网址发动DoS攻击: www.nibis.de www.medinfo.ufl.edu www.educa.ch 6、会在C至Z盘(包括光驱)中查找一下后缀的文件中包含的Email地址: .eml .txt .php .cfg .mbx .mdx .asp .wab .doc .vbs .rtf .uin .shtm .cgi .dhtm .abd .tbb .dbx .pl .htm .html .sht .oft .msg .ods .stm .xls .jsp .wsh .xml .mht .mmf .nch .ppt

7、通过其自带的SMTP引擎发送一个它自身的拷贝到hukanmikloiuo@yahoo.com,以及所有它搜索到的Email地址。其发送的邮件具有以下特征:

它将会检查这些Email地址的顶级域名,并使用该国的语言来发送邮件。 比如,如果邮件地址为somebody@domainname.it,那么它将会采用意大利语发送邮件: 主题:Re: documento 正文: Legga prego il documento. 附件: documento.pif

其他基于顶级域名的邮件可能为: 如果顶级域名为 .de: 主题: Re: dokument 正文: Bitte lesen Sie das Dokument. 附件: dokument.pif

如果顶级域名为 .fr: 主题: Re: document 正文: Veuillez lire le document. 附件: document.pif

如果顶级域名为 .it: 主题: Re: documento 正文: Legga prego il documento. 附件: documento.pif

如果顶级域名为 .pt: 主题: Re: original 正文: Leia por favor o original. 附件: original.pif

如果顶级域名为 .no: 主题: Re: dokumentet 正文: Behage lese dokumentet. 附件: dokumentet.pif

如果顶级域名为 .pl: 主题: Re: udokumentowac 正文: Podobac sie przeczytac ten udokumentowac. 附件: udokumentowac.pif

如果顶级域名为 .fi: 主题: Re: dokumentoida 正文: Haluta kuulua dokumentoida. 附件: dokumentoida.pif

如果顶级域名为 .se: 主题: Re: dokumenten 正文: Behaga l?sa dokumenten. 附件: dokumenten.pif

如果顶级域名为 .tc: 主题: Re: belge 正文: mutlu etmek okumak belgili tanimlik belge. 附件: belge.pif

其他情况下使用以下字符串: 主题: Re: document 正文: Please read the document. 附件: document.pif

8、该蠕虫会利用默认的DNS来转换Email域名的IP,如果不成功,就会利用以下的DNS服务器来进行解析: 212.185.252.73 212.185.253.70 212.185.252.136 194.25.2.129 194.25.2.130 195.20.224.234 217.5.97.137 194.25.2.129 193.193.144.12 212.7.128.162 212.7.128.165 193.193.158.10 194.25.2.131 194.25.2.132 194.25.2.133 194.25.2.134 193.141.40.42 145.253.2.171 193.189.244.205 213.191.74.19 151.189.13.35 195.185.185.195 212.44.160.8

  解决方案:

  · 请使用金山毒霸2004年04月22日的病毒库可完全处理该病毒;

  ·请不要轻易点击陌生人的邮件以及下载和运行所带附件,在运行可疑附件前最好先用毒霸扫描;

  · 手工解决方案:      首先,若系统为WinXP,则请先关闭系统还原功能;   (毒霸论坛:反病毒可能需要用到的方法及操作 > 如何禁用Win Me/XP的“系统还原”功能)

  对于系统是Win9x/WinMe:

  步骤一,删除病毒主程序   请使用干净的系统软盘引导系统到纯DOS模式,然后转到系统目录(默认的系统目录为   C:\windows),分别输入以下命令,以便删除病毒程序:   C:\windows\>del FirewallSvr.exe   C:\windows\>del fuck_you_bagle.txt   完毕后,取出系统软盘,重新引导到Windows系统。   如果手中没有系统软件盘,可以在引导系统时按“F5”键也可进入纯DOS模式;

  步骤二,清除病毒在注册表里添加的项   打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter;   在左边的面板中, 双击(按箭头顺序查找,找到后双击):   HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run   在右边的面板中, 找到并删除如下项目:   "FirewallSvr"="%Windir%\FirewallSvr.exe"    关闭注册表编辑器。


  对于系统是Windows NT, Windows 2000, Windows XP, Windows 2003 Sever:

  步骤一,使用进程序管里器结束病毒进程   右键单击任务栏,弹出菜单,选择“任务管理器”,调出“Windows任务管理器”窗口。在任   务管理器中,单击“进程”标签,在例表栏内找到病毒进程“FirewallSvr.exe”,单击“结束   进程按钮 ”,点击“是”,结束病毒进程,然后关闭“Windows任务管理器”;

  步骤二,查找并删除病毒程序   通过“我的电脑”或“资源管理器”进入系统目录(Winnt或windows),找到病毒主程序文件   “FirewallSvr.exe、fuck_you_bagle.txt”,将它们删除;

  步骤三,清除病毒在注册表里添加的项   打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter;   在左边的面板中, 双击(按箭头顺序查找,找到后双击):   HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run   在右边的面板中, 找到并删除如下项目:   "FirewallSvr"="%Windir%\FirewallSvr.exe   关闭注册表编辑器.