| 词条 | Worm.Netsky.d |
| 释义 | § 概要 病毒别名: 处理时间:2004-04-12 威胁级别:★ 中文名称:网络天空变种D 病毒类型:蠕虫 影响系统:Windows 2000, Windows 95, Windows 98, Windows Me, 病毒行为: netsky 编写工具: vc 传染条件: 发作条件: 系统修改: 1,创建一个名为“【SkyNet.cz】SystemsMutex”的互斥体。此互斥体仅允许该蠕虫的一个实例在内存中执行。 将自身复制为 %Windir%winlogon.exe。 2,将值: "ICQ Net" = "%Windir%winlogon.exe -stealth" 添加到注册表键: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 这样,此蠕虫便可在 Windows启动时运行。 3,删除以下值: Taskmon Explorer Windows Services Host KasperskyAV 这些值位于注册表键: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun 4,删除以下值: System. msgsvr32 DELETE ME service Sentry 这些值位于注册表键: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 5,删除以下值: d3dupdate.exe au.exe OLE 这些值位于注册表键: HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun 6,删除值: System. 该值位于以下注册表键: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices 删除注册表键: HKEY_CLASSES_ROOTCLSIDInProcServer32 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerPINF HKEY_LOCAL_MACHINESystemCurrentControlSetServicesWksPatch 发作现象: 1,如果时间介于 2004 年 3 月 2 日(星期二)的 6:00am 到 9:00am,PC 扬声器将连续不断地发出蜂鸣声。 每次蜂鸣都将以随机频率、持续一段长度不等的时间。 2,在驱动器 C 到 Z 上扫描以下文件类型,查找电子邮件地址: .dhtm .cgi .shtm .msg .oft .sht .dbx .tbb .adb .doc .wab .asp .uin .rtf .vbs .html .htm .pl .php .txt .eml 使用它自己的 SMTP 引擎将其自身发送到在上述位置找到的电子邮件地址,向每个地址发送一次。 该蠕虫使用可用的本地 DNS 服务器(通过 API 检索),执行 MX 查找来搜索收件人地址。 如果本地 DNS 不可用,它将对以下硬编码的服务器列表执行查找: 145.253.2.171 151.189.35 193.141.40.42 193.189.244.205 193.193.144.12 193.193.158.10 194.25.2.129 194.25.2.129 194.25.2.130 194.25.2.131 194.25.2.132 194.25.2.133 194.25.2.134 195.185.185.195 195.20.224.234 2185.252.136 2185.252.73 2185.253.70 244.160.8 27.128.162 27.128.165 2191.74.19 25.97.137 62.155.255.16 此类电子邮件具有以下特征: 发件人:<欺骗性地址> 主题:(下列之一) Re: Your website Re: Your product Re: Your letter Re: Your archive Re: Your text Re: Your bill Re: Your details Re: My details Re: Word file Re: Excel file Re: Details Re: Approved Re: Your software Re: Your music Re: Here Re: Re: Re: Your document Re: Hello Re: Hi Re: Re: Message Re: Your picture Re: Here is the document Re: Your document Re: Thanks! Re: Re: Thanks! Re: Re: Document Re: Document 消息:(下列之一) Your file is attached. Please read the attached file. Please have a look at the attached file. See the attached file for details. Here is the file. Your document is attached. 附件:(下列之一) your_website.pif your_product.pif your_letter.pif your_archive.pif your_text.pif your_bill.pif your_details.pif document_word.pif document_excel.pif my_details.pif all_document.pif application.pif mp3music.pif yours.pif document_4351.pif your_file.pif message_details.pif your_picture.pif document_full.pif message_part2.pif document.pif your_document.pif 3,该蠕虫避免向包含以下字符串的地址发送电子邮件: skynet messagelabs abuse fbi orton f-pro aspersky cafee orman itdefender f-secur avp spam ymantec antivi icrosoft § 相关条目 计算机 木马 病毒 网络 软件 系统 |
| 随便看 |
百科全书收录594082条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。