"网络天空"新变种Z(NetSky.z)

来自WordPress中文文档
跳转至: 导航搜索

病毒信息:

  病毒名称: Worm.Netsk.z   中文名称: 网络天空变种Z   威胁级别: 3C   病毒别名:W32/Netsky.y@MM [McAfee]        WORM_NETSKY.Y [Trend]        Win32.Netsky.Y [Computer Associates]        W32/Netsky-X [Sophos]        W32.Netsky.Y@mm [Symantec]   病毒类型:蠕虫   受影响系统: Windows 95, 98, ME, NT, 2000, XP


  传染条件:

  1、利用自身的SMTP发信引擎来发送病毒邮件,疯逛传播自己;

  2、终于知名的反病毒软件和安全软件,降低系统安全性;

  3、开启后门,等待攻击者连接,可自动下载并执行新的病毒。

  4、对网络中的WEB服务器发起DoS(绝拒服务)攻击,造成一些网址无法访问。

  技术特点:

1、在注册表主键: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下添加如下键值: "Jammer2nd"="%Windir%\Jammer2nd.exe"

2、拷贝自己到系统安装目录: %SystemRoot%\Jammer2nd.exe

释放N(N为随机数)个它本身的MIME编码的拷贝至系统安装目录: %SystemRoot%\PK_ZIP_ALG.LOG %WinDir%\PK_ZIP%n%.LOG (%n%为数字)

3、创建一个名为"(S)(k)(y)(N)(e)(t)," 的互斥体,只允许起一个进程运行。

4、监听TCP 82端口,等待攻击者发送一个可执行文件。一旦文件下载完毕,该蠕虫就会主动运行之。

5、如果系统时间在2004年4月28日至2004年4月30日之间,该蠕虫就会对以下网址发动DoS攻击: www.nibis.de www.medinfo.ufl.edu www.educa.ch 6、会在C至Z盘(包括光驱)中查找一下后缀的文件中包含的Email地址: .eml .txt .php .cfg .mbx .mdx .asp .wab .doc .vbs .rtf .uin .shtm .cgi .dhtm .abd .tbb .dbx .pl .htm .html .sht .oft .msg .ods .stm .xls .jsp .wsh .xml .mht .mmf .nch .ppt

7、通过其自带的SMTP引擎发送一个它自身的拷贝到hukanmikloiuo@yahoo.com,以及所有它搜索到的Email地址。其发送的邮件具有以下特征:

发件人:<具有迷惑性的字符串>

主题: Hello Hi Important Important bill! Important data! Important details! Important document! Important informations! Important notice! Important textfile! Important! Information


附件名: Bill.zip Data.zip Details.zip Important.zip Informations.zip Notice.zip Part-2.zip Textfile.zip

压缩包里的可执行文件名为:

Bill.txt (many spaces) .exe Data.txt (many spaces) .exe Details.txt (many spaces) .exe Important.txt (many spaces) .exe Informations.txt (many spaces) .exe Notice.txt (many spaces) .exe Part-2.txt (many spaces) .exe Textfile.txt (many spaces) .exe

8、该蠕虫会利用默认的DNS来转换Email域名的IP,如果不成功,就会利用以下的DNS服务器来进行解析: 212.185.252.73 212.185.253.70 212.185.252.136 194.25.2.129 194.25.2.130 195.20.224.234 217.5.97.137 194.25.2.129 193.193.144.12 212.7.128.162 212.7.128.165 193.193.158.10 194.25.2.131 194.25.2.132 194.25.2.133 194.25.2.134 193.141.40.42 145.253.2.171 193.189.244.205 213.191.74.19 151.189.13.35 195.185.185.195 212.44.160.8

  解决方案:

  · 请使用金山毒霸2004年04月22日的病毒库可完全处理该病毒;

  ·请不要轻易点击陌生人的邮件以及下载和运行所带附件,在运行可疑附件前最好先用毒霸扫描;

  · 手工解决方案:      首先,若系统为WinXP,则请先关闭系统还原功能;   (毒霸论坛:反病毒可能需要用到的方法及操作 > 如何禁用Win Me/XP的“系统还原”功能)

  对于系统是Win9x/WinMe:

  步骤一,删除病毒主程序   请使用干净的系统软盘引导系统到纯DOS模式,然后转到系统目录(默认的系统目录为   C:\windows),分别输入以下命令,以便删除病毒程序:   C:\windows\>del Jammer2nd.exe   C:\windows\>del PK_ZIP%n%.LOG (%n%为数字)   完毕后,取出系统软盘,重新引导到Windows系统。   如果手中没有系统软件盘,可以在引导系统时按“F5”键也可进入纯DOS模式;

  步骤二,清除病毒在注册表里添加的项   打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter;   在左边的面板中, 双击(按箭头顺序查找,找到后双击):   HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run   在右边的面板中, 找到并删除如下项目:   "FirewallSvr"="%Windir%\FirewallSvr.exe    关闭注册表编辑器。


  对于系统是Windows NT, Windows 2000, Windows XP, Windows 2003 Sever:

  步骤一,使用进程序管里器结束病毒进程   右键单击任务栏,弹出菜单,选择“任务管理器”,调出“Windows任务管理器”窗口。在任   务管理器中,单击“进程”标签,在例表栏内找到病毒进程“Jammer2nd.exe”,单击“结束   进程按钮 ”,点击“是”,结束病毒进程,然后关闭“Windows任务管理器”;

  步骤二,查找并删除病毒程序   通过“我的电脑”或“资源管理器”进入系统目录(Winnt或windows),找到病毒主程序文件   “FirewallSvr.exe、PK_ZIP%n%.LOG (%n%为数字)”,将它们删除;

  步骤三,清除病毒在注册表里添加的项   打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter;   在左边的面板中, 双击(按箭头顺序查找,找到后双击):   HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run   在右边的面板中, 找到并删除如下项目:   "FirewallSvr"="%Windir%\FirewallSvr.exe"   关闭注册表编辑器.