病毒别名：I-Worm.NetSky.r [AVP]

处理时间：

威胁级别：★★

中文名称：网络天空变种R

病毒类型：蠕虫

影响系统：Win9x/WinNT/Win2K/WinXP/Win2003

病毒行为:

编写工具:

传染条件:

发作条件:

系统修改:

1.复制病毒自身到%SystemRoot%SysMonXP.exe

2.生成文件%SystemRoot%Firewallogger.txt

3.建立一个互斥体"_-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_",保证只有一个病毒的实例在运行

4.释放临时文件:

%SystemRoot%zipo0.txt

%SystemRoot%zipo1.txt

%SystemRoot%zipo2.txt

%SystemRoot%zipo3.txt

%SystemRoot%ase64.tmp

%SystemRoot%zippedbase64.tmp

5.在注册表中添加启动项

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

"SysMonXP"="%SystemRoot%SysMonXP.exe"

6.从注册表中删除其他蠕虫病毒的启动项:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices

Explorer

system.

msgsvr32

au.exe

winupd.exe

direct.exe

jijbl

Video

service

DELETE ME

d3dupdate.exe

OLE

Sentry

gouday.exe

rate.exe

Taskmon

Windows Services Host

sysmon.exe

srate.exe

ssate.exe

Microsoft IE Execute shell

Winsock2 driver

ICM version

yeahdude.exe

Microsoft System Checkup

7.从注册表中删除如下子键:

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExplorerPINF

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWksPatch HKEY_CLASSES_ROOTCLSIDCLSID

InProcServer32

发作现象:

1.该病毒会检测系统日期和时间,当时间是2004年3月30日上午5:11的时候,它会驱动扬声器发出声响

特别说明:

1.如果系统时间在2004年4月8日到4月11日之间,该病毒会尝试向如下网站发起拒绝服务攻击:

www.edonkey2000.com

www.kazaa.com

www.emule-project.net

www.cracks.am

www.cracks.st

2.建立80个线程,每个线程从上面的网站中随机选择一个作为DOS攻击的对象