词条 | I-Worm/Netsky.ac |
释义 | I-Worm/Netsky.ac 病毒长度:18,432 bytes 、 36,864 bytes 病毒类型:网络蠕虫 危害等级:** 影响平台:Win9X/2000/XP/NT/Me/2003 I-Worm/Netsky.ac利用自带的SMTP引擎群发邮件进行传播,邮件地址是从感染病毒的计算机上除光盘外的所有驱动器上搜索的,邮件的发件人、正文和附件都是变化的,此病毒经PECompact压缩过。 传播过程及特征: 首先复制自身为:%Windir%\\comp.cpl,插入并执行蠕虫模块文件:%Windir%\\wserver.exe,一旦此文件被执行,将有如下操作: 1.复制自身为:%Windir%\\wserver.exe 2.修改注册表: 添加键值:"wserver"="%Windir%\\wserver.exe"到启动项:HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 删除HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run下的值:"ssgrate.exe" 、 "drvsys.exe" 和 "Drvddll_exe等。 3.遍历从C到Z的驱动器(除光盘外),从下列类型文件中搜索有效的邮件地址: .eml .txt .php .cfg .mbx .mdx .asp .wab .doc .vbs .rtf .uin .shtm .cgi .dhtm .adb .tbb .dbx .pl .htm .html .sht .oft .msg .ods .stm .xls .jsp .wsh .xml .mht .mmf .nch .ppt 4.试图用默认的DNS得到邮件服务器的IP地址,否则便用自带的DNS: 212.44.160.8 195.185.185.195 151.189.13.35 213.191.74.19 193.189.244.205 145.253.2.171 193.141.40.42 193.193.144.12 217.5.97.137 195.20.224.234 194.25.2.130 194.25.2.129 212.185.252.136 212.185.253.70 212.185.252.73 62.155.255.16 194.25.2.134 194.25.2.133 194.25.2.132 194.25.2.131 193.193.158.10 212.7.128.165 212.7.128.162 5.用自带的SMTP引擎发送自身到gghjj@yahoo.com和搜索到的所有邮件地址,邮件特征: 发件人:下列之一 support@symantec.com support@nai.com support@norman.com support@sophos.com 主题:Escalation 附件:Fix_<任意名>_<任意数字>.cpl --- 大小为36,864 bytes 注:<任意名>是下列之一: NetSky.AB Sasser.B Beagle.AB Mydoom.F MSBlast.B <任意数字>是介于0-32767之间的一个十进制数字 此病毒会避免向国内外安全信息厂商发送带毒邮件。 |
随便看 |
|
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。