§ 概要

病毒别名：Win32.Netsky.X 【Computer Associates】 W32/NetSky.X@mm 【F-Secure】 W32/Netsky.x@MM 【McAfee】 W32/Netsky.

处理时间：

威胁级别：★★★

中文名称：

病毒类型：蠕虫

影响系统：Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

编写工具:VC6.0

传染条件:通过网络发送电子邮件高速传播

发作条件:

系统修改:

A、在注册表主键：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

下添加如下键值：

"FirewallSvr"="%Windir%FirewallSvr.exe"

B、拷贝自己到系统安装目录：

%SystemRoot%FirewallSvr.exe

释放一个它本身的MIME编码的拷贝至系统安装目录：

%SystemRoot%fuck_you_bagle.txt

C、创建一个名为"____--->>>>U<<<<--____" 的互斥体，只允许起一个进程运行。

发作现象:

特别说明:

A、监听TCP 82端口，等待攻击者发送一个可执行文件。一旦文件下载完毕，该蠕虫就会主动运行之。

B、如果系统时间在2004年4月28日至2004年4月30日之间，该蠕虫就会对以下网址发动DoS攻击：

www.nibis.de

www.medinfo.ufl.edu

www.educa.ch

C、会在C至Z盘（包括光驱）中查找一下后缀的文件中包含的Email地址：

.eml

.txt

.php

.cfg

.mbx

.mdx

.asp

.wab

.doc

.vbs

.rtf

.uin

.shtm

.cgi

.dhtm

.abd

.tbb

.dbx

.pl

.htm

.html

.sht

.oft

.msg

.ods

.stm

.xls

.jsp

.wsh

.xml

.mht

.mmf

.nch

.ppt

D、通过其自带的SMTP引擎发送一个它自身的拷贝到hukanmikloiuo@yahoo.com，以及所有它搜索到的Email地址。其发送的邮件具有以下特征：

它将会检查这些Email地址的顶级域名，并使用该国的语言来发送邮件。

比如，如果邮件地址为somebody@domainname.it，那么它将会采用意大利语发送邮件:

主题：Re: documento

正文: Legga prego il documento.

附件: documento.pif

其他基于顶级域名的邮件可能为：

如果顶级域名为 .de:

主题: Re: dokument

正文: Bitte lesen Sie das Dokument.

附件: dokument.pif

如果顶级域名为 .fr:

主题: Re: document

正文: Veuillez lire le document.

附件: document.pif

如果顶级域名为 .it:

主题: Re: documento

正文: Legga prego il documento.

附件: documento.pif

如果顶级域名为 .pt:

主题: Re: original

正文: Leia por favor o original.

附件: original.pif

如果顶级域名为 .no:

主题: Re: dokumentet

正文: Behage lese dokumentet.

附件: dokumentet.pif

如果顶级域名为 .pl:

主题: Re: udokumentowac

正文: Podobac sie przeczytac ten udokumentowac.

附件: udokumentowac.pif

如果顶级域名为 .fi:

主题: Re: dokumentoida

正文: Haluta kuulua dokumentoida.

附件: dokumentoida.pif

如果顶级域名为 .se:

主题: Re: dokumenten

正文: Behaga l?sa dokumenten.

附件: dokumenten.pif

如果顶级域名为 .tc:

主题: Re: belge

正文: mutlu etmek okumak belgili tanimlik belge.

附件: belge.pif

其他情况下使用以下字符串:

主题: Re: document

正文: Please read the document.

附件: document.pif

E、该蠕虫会利用默认的DNS来转换Email域名的IP，如果不成功，就会利用以下的DNS服务器来进行解析：

2185.252.73

2185.253.70

2185.252.136

194.25.2.129

194.25.2.130

195.20.224.234

25.97.137

194.25.2.129

193.193.144.12

27.128.162

27.128.165

193.193.158.10

194.25.2.131

194.25.2.132

194.25.2.133

194.25.2.134

193.141.40.42

145.253.2.171

193.189.244.205

2191.74.19

151.189.35

195.185.185.195

244.160.8

§ 相关条目

计算机 木马 病毒 网络 软件 系统

• 密箐
• 密粘褶菌
• 密索
• 密约
• 密纱眉眼蝶
• 密结
• 密网
• 密翳
• 密而不宣
• 密耗
• 密花姜花
• 密花寄生
• 密花岩风
• 密花杜若
• 密花柴胡
• 密花石斛
• 密花苎麻
• 密花藤属
• 密花豆属
• 密花远志
• 密花香薷
• 密苏达尔
• 密苏里大学
• 密苏里州
• 密茫茫