“Win32.Netsky.P”的意思、由来-中文百科全书

病毒属性

蠕虫病毒

危害性

中等危害

流行程度

高

具体介绍

病毒建立的DLL文件中是病毒的代码。

当病毒运行时它建立一个叫"'D'r'o'p'p'e'd'S'k'y'N'e't'",的互斥体，来确保同时只有一个Netsky.P在运行。

病毒拷贝自己到：

%Windows%\\ FVProtect.exe

病毒会把代码解密，然后写到：

%Windows%\\userconfig9x.dll

病毒首先执行DLL文件的第一个功能。然后DLL文件就会继续执行。

病毒修改注册表来使自己能在WINDOWS启动时自动启动：

HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\orton Antivirus AV = "%Windows%\\FVProtect.exe"

DLL会建立另外一个互斥体"_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_".它会建立许多其他文件来传播自己：

%Windows%\\base64.tmp

......

%Windows%\\zip3.tmp

注释：’%windows%’是一个可变的目录。蠕虫根据被感染机器的操作系统决定当前的系统文件夹。默认情况下， WIN2000和NT的安装位置是C:\\WINNT ;95,98和ME的是c:\\windows;xp的是c:\\windows.

传播方式

通过邮件传播

病毒利用自己的SMTP引擎发送邮件。邮件的发件人地址和收件人地址都使用搜索到的邮件地址,或者发件人地址使用lola@sexnet.com.

Netsky.P可以用不同的主题，内容，附件名来构造一个邮件。邮件主题从下边这些里边选择：

Re: Encrypted Mail

Re: Extended Mail

......

important

read it immediately

邮件内容从这个列表里选择：

Please confirm my request.

......

You have received an extended message. Please read the instructions.

内容的后边可能会加上下边的内容：

+++ Attachment: No Virus found

......

++++ Norton AntiVirus - www.symantec.de可能的附件名：

message

......

readme

当附件是个可执行文件的时候，附件名可能是带一个或者两个扩展名。如果是两个扩展名的话，那么第一个扩展名是.txt或者.doc

最后的扩展名是：

.pif,.exe,.scr

两个扩展名之间会有多个空格。

当附件是个ZIP文件时，那么附件的扩展名是.ZIP.文件名是：

document.txt .exe

data.rtf .scr

details.txt .pif

病毒会在附件名的后边加上"_"。比如，当发送给tester@domain.com时，那么附件名是"msg_tester.zip".

下边是个例子：

主题:

Mail Delivery (failure )

内容:

If the message will not displayed automatically,

......

www./inbox//read.php?sessionid-

附件：

message.scr

邮件的内容是HTML文件，当查看附件后，附件就会运行。详细资料请查阅：

http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

下边是个蠕虫生成的邮件的例子：

为了收集邮件地址，Netsky.P 搜索驱动器C到Z中以下扩展名的文件，但是不搜索光驱：

adb

......

vbs

wab

病毒会避免搜索带以下后缀的地址：

@microsof

......

reports@

通过文件共享传播

在搜索邮件地址的过程中，Netsky.P会查找共享目录，比如通过KAZAA共享的文件。

病毒会用以下名字拷贝自己到这些目录：

蠕虫用会尝试使用本地的DNS服务器来决定目标地址的邮件服务器地址。如果病毒没能使用DNS服务器，那么它会在自己带的一个列表里查找：

12.82.159.180

......

kazaa

shared files

在每个匹配的目录里，病毒会用以下文件名把自己拷贝进去：

he Sims 4 beta.exe

......

Kazaa Lite 4.0 new.exe

危害

病毒会移除以下由别的蠕虫产生的注册表键值：

HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\Explorer

......

HKLM\\System\\CurrentControlSet\\Services\\WksPatch

词条	Win32.Netsky.P
释义	Win32.Netsky.P（ZIP.Netsky.P）是一种通过邮件和对等网的共享传播的蠕虫病毒。病毒是大小为29,568字节的可执行文件,用FSG（脱壳工具）压缩，并会建立一个26，624字节的DLL文件。病毒经常是以ZIP文件的方式来传播自己。病毒属性危害性流行程度具体介绍传播方式(通过邮件传播通过文件共享传播) 危害病毒属性蠕虫病毒危害性中等危害流行程度高具体介绍病毒建立的DLL文件中是病毒的代码。当病毒运行时它建立一个叫"'D'r'o'p'p'e'd'S'k'y'N'e't'",的互斥体，来确保同时只有一个Netsky.P在运行。病毒拷贝自己到： %Windows%\\ FVProtect.exe 病毒会把代码解密，然后写到： %Windows%\\userconfig9x.dll 病毒首先执行DLL文件的第一个功能。然后DLL文件就会继续执行。病毒修改注册表来使自己能在WINDOWS启动时自动启动： HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\orton Antivirus AV = "%Windows%\\FVProtect.exe" DLL会建立另外一个互斥体"_-oO]xX\|-S-k-y-N-e-t-\|Xx[Oo-_".它会建立许多其他文件来传播自己： %Windows%\\base64.tmp ...... %Windows%\\zip3.tmp 注释：’%windows%’是一个可变的目录。蠕虫根据被感染机器的操作系统决定当前的系统文件夹。默认情况下， WIN2000和NT的安装位置是C:\\WINNT ;95,98和ME的是c:\\windows;xp的是c:\\windows. 传播方式通过邮件传播病毒利用自己的SMTP引擎发送邮件。邮件的发件人地址和收件人地址都使用搜索到的邮件地址,或者发件人地址使用lola@sexnet.com. Netsky.P可以用不同的主题，内容，附件名来构造一个邮件。邮件主题从下边这些里边选择： Re: Encrypted Mail Re: Extended Mail ...... important read it immediately 邮件内容从这个列表里选择： Please confirm my request. ...... You have received an extended message. Please read the instructions. 内容的后边可能会加上下边的内容： +++ Attachment: No Virus found ...... ++++ Norton AntiVirus - www.symantec.de可能的附件名： message ...... readme 当附件是个可执行文件的时候，附件名可能是带一个或者两个扩展名。如果是两个扩展名的话，那么第一个扩展名是.txt或者.doc 最后的扩展名是： .pif,.exe,.scr 两个扩展名之间会有多个空格。当附件是个ZIP文件时，那么附件的扩展名是.ZIP.文件名是： document.txt .exe data.rtf .scr details.txt .pif 病毒会在附件名的后边加上"_"。比如，当发送给tester@domain.com时，那么附件名是"msg_tester.zip". 下边是个例子：主题: Mail Delivery (failure ) 内容: If the message will not displayed automatically, ...... www./inbox//read.php?sessionid- 附件： message.scr 邮件的内容是HTML文件，当查看附件后，附件就会运行。详细资料请查阅： http://www.microsoft.com/technet/security/bulletin/MS01-020.asp 下边是个蠕虫生成的邮件的例子：为了收集邮件地址，Netsky.P 搜索驱动器C到Z中以下扩展名的文件，但是不搜索光驱： adb ...... vbs wab 病毒会避免搜索带以下后缀的地址： @microsof ...... reports@ 通过文件共享传播在搜索邮件地址的过程中，Netsky.P会查找共享目录，比如通过KAZAA共享的文件。病毒会用以下名字拷贝自己到这些目录：蠕虫用会尝试使用本地的DNS服务器来决定目标地址的邮件服务器地址。如果病毒没能使用DNS服务器，那么它会在自己带的一个列表里查找： 12.82.159.180 ...... kazaa shared files 在每个匹配的目录里，病毒会用以下文件名把自己拷贝进去： he Sims 4 beta.exe ...... Kazaa Lite 4.0 new.exe 危害病毒会移除以下由别的蠕虫产生的注册表键值： HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\Explorer ...... HKLM\\System\\CurrentControlSet\\Services\\WksPatch
随便看	真实诱惑真实与挑战真实战争真实战争:1242 真实战争1242 真实战争2：北方十字军真实战争2之北方十字军真实战争：1242 真实侦探之迈阿密谋杀案真实之歌真实之泪真实之旅:大溪地真实之眼真实主义真实主义歌剧真实罪行真矢美纪真是真是不可不戒真是烦死人真侍魂真侍魂：霸王丸地狱变真视真视宝石真视效果