词条 | Worm.Netsky.d |
释义 | 是一种蠕虫病毒,网络天空”病毒的变种之一,于2004年3月1日被发现。影响Windows 2000, Windows 95, Windows 98, Windows Me等操作系统。该变种的一些特征与Worm_Netsky.C相同,如windows文件夹下生成的病毒文件名称,修改注册表键值已达到自启动的目的,以及删除的部分注册表键值。 简介处理时间:2004-04-12 威胁级别:★ 中文名称:网络天空变种D 病毒类型:蠕虫 病毒行为: netsky 编写工具vc 传染条件: 发作条件: 系统修改: 1,创建一个名为“[SkyNet.cz]SystemsMutex”的互斥体。此互斥体仅允许该蠕虫的一个实例在内存中执行。 将自身复制为 %Windir%winlogon.exe。 2,将值: "ICQ Net" = "%Windir%winlogon.exe -stealth" 添加到注册表键: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 这样,此蠕虫便可在 Windows启动时运行。 3,删除以下值: Taskmon Explorer Windows Services Host KasperskyAV 这些值位于注册表键: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun 4,删除以下值: System. msgsvr32 DELETE ME service Sentry 这些值位于注册表键: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 5,删除以下值: d3dupdate.exe au.exe OLE 这些值位于注册表键: HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun 6,删除值: System. 该值位于以下注册表键: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices 删除注册表键: HKEY_CLASSES_ROOTCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerPINF HKEY_LOCAL_MACHINESystemCurrentControlSetServicesWksPatch 病毒特征1,如果时间介于 2004 年 3 月 2 日(星期二)的 6:00am 到 9:00am,PC 扬声器将连续不断地发出蜂鸣声。 每次蜂鸣都将以随机频率、持续一段长度不等的时间。 2,在驱动器 C 到 Z 上扫描以下文件类型,查找电子邮件地址: .dhtm .cgi .shtm .msg .oft .sht .dbx .tbb .adb .doc .wab .asp .uin .rtf .vbs .html .htm .pl .php .txt .eml 使用它自己的 SMTP 引擎将其自身发送到在上述位置找到的电子邮件地址,向每个地址发送一次。 该蠕虫使用可用的本地 DNS 服务器(通过 API 检索),执行 MX 查找来搜索收件人地址。 如果本地 DNS 不可用,它将对以下硬编码的服务器列表执行查找: 145.253.2.171 151.189.35 193.141.40.42 193.189.244.205 193.193.144.12 193.193.158.10 194.25.2.129 194.25.2.129 194.25.2.130 194.25.2.131 194.25.2.132 194.25.2.133 194.25.2.134 195.185.185.195 195.20.224.234 2185.252.136 2185.252.73 2185.253.70 244.160.8 27.128.162 27.128.165 2191.74.19 25.97.137 62.155.255.16 此类电子邮件具有以下特征: 发件人:<欺骗性地址> 主题:(下列之一) Re: Your website Re: Your product Re: Your letter Re: Your archive Re: Your text Re: Your bill Re: Your details Re: My details Re: Word file Re: Excel file Re: Details Re: Approved Re: Your software Re: Your music Re: Here Re: Re: Re: Your document Re: Hello Re: Hi Re: Re: Message Re: Your picture Re: Here is the document Re: Your document Re: Thanks! Re: Re: Thanks! Re: Re: Document Re: Document 消息:(下列之一) Your file is attached. Please read the attached file. Please have a look at the attached file. See the attached file for details. Here is the file. Your document is attached. 附件:(下列之一) your_website.pif your_product.pif your_letter.pif your_archive.pif your_text.pif your_bill.pif your_details.pif document_word.pif document_excel.pif my_details.pif all_document.pif application.pif mp3music.pif yours.pif document_4351.pif your_file.pif message_details.pif your_picture.pif document_full.pif message_part2.pif document.pif your_document.pif 3,该蠕虫避免向包含以下字符串的地址发送电子邮件: skynet messagelabs abuse fbi orton f-pro aspersky cafee orman itdefender f-secur avp spam ymantec antivi icrosoft 病毒清除1、终止病毒进程 在Windows 9x/ME系统,同时按下CTRL+ALT+DELETE,在Windows NT/2000/XP系统中,同时按下CTRL+SHIFT+ESC,选择“任务管理器--〉进程”,选中正在运行的进程“Winlogon.exe”,并终止其运行。 2、注册表的恢复 点击“开始--〉运行”,输入regedit,运行注册表编辑器,依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ,并删除面板右侧的ICQ Net = "%Windows%.exe -stealth" 3、删除病毒释放的文件 点击“开始--〉查找--〉文件和文件夹”,查找文件“Winlogon.exe”,并将找到的文件删除。 4、运行杀毒软件,对系统进行全面的病毒查杀 |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。