Worm.Netsky.d

2008-02-23 09:26:46来源：互联网阅读 ()

病毒名称: Worm.Netsky.d 类别：蠕虫病毒资料：破坏方法：

一个蠕虫病毒

病毒行为：

一旦执行,病毒将执行以下操作:

1.本地首先将创建一个名为:"[SkyNet.cz]SystemsMutex"的互斥量来保证只运行病毒的一个副本;

2.复制自己到windows目录下:
文件路径：％WINDIR％\Winlogon.exe;

3.添加如下键值:
"ICQ Net" = "％WINDIR％\winlogon.exe -stealth" 到注册表键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run 下,这是病毒自启动的伎俩;

删除键:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run下的如下键值:

Taskmon
EXPlorer
Windows Services Host
KASPerskyAV

删除键:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run下的如下键值:
System.
msgsvr32
DELETE ME
service
Sentry

删除键:
HKEY_CURRENT_USER\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run下的如下键值:
d3dupdate.exe
au.exe
OLE
删除键:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunServices下的如下键值:
System.

删除子键:

HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32

其中键值:
"KasperskyAV"是病毒:"Worm.Mimail.t"的自启动键值;
"Taskmon" 和"Explorer"是病毒:"SCO炸弹"的键值.

4.病毒从带有下列扩展名的文件中搜索Email地址:
.eml,.txt, .PHP ,.pl ,.htm ,.Html ,.vbs ,.rtf ,.uin ,.asp ,.wab ,.doc ,.adb
.tbb ,.dbx ,.sht ,.oft ,.msg ,.shtm ,.cgi ,.dhtm

6.病毒使用自带的SMTP引擎向上面搜到的Email地址发送带毒邮件:

邮件带有如下特征:
标题为下列之一:
Re: Your website,Re: Your prodUCt,Re: Your letter,Re: Your archive,Re: Your text
Re: Details,Re: Approved,Re: Your software,Re: Your music,Re: Re:
Re: Your document
......

邮件的附件名：
your_website.pif,your_product.pif,your_letter.pif,your_archive.pif,your_text.pif
your_bill.pif,your_details.pif,document_Word.pif,document_Excel.pif,
my_details.pif,all_document.pif,application.pif,mp3music.pif,yours.pif,
document_4351.pif,your_file.pif,message_details.pif,your_picture.pif,
document_full.pif
message_part2.pif...
病毒的清除法：使用光华反病毒软件，彻底删除。病毒演示：病毒FAQ： Windows下的PE病毒。
发现日期： 2004-3-1

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有