該病毒的特性如下:
一、病毒評估:
病毒危險等級:病毒類型:蠕蟲病毒
病毒傳播途徑:網路/郵件
病毒依賴系統:WINDOWS NT/2000/XP
二、病毒特性:
1.該病毒屬於惡性蠕蟲病毒,具有很大的感染性和破壞性。2.病毒運行時會在%Temp%目錄中生成一個內容為隨機數據的檔案,並自動調用記事本程式來打開它,從而顯示一些偽裝信息。
注意:%Temp%是一個變數,它指的是作業系統安裝目錄中的臨時目錄,默認是:“C:\Windows\temp”或:“c:\Winnt\temp”。
3.病毒運行時會修改註冊表:HKEY_CLASSES_ROOT\CLSID\E6FB5E20-DE35-11CF-9C87-00AA005127ED\InProcServer32和HKEY_CLASSES_ROOT\CLSID\35CEC8A3-2BE6-11D2-8773-92E220524153\InProcServer32,使其指向一個病毒自己釋放的dll檔案。
4.病毒還在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中加入自己的鍵值,並且在運行時會釋放後門程式為:%System%\“隨機字元。dll
注意:%system%是一個變數,它指的是作業系統安裝目錄中的系統目錄,默認是:“C:\Windows\system”或:“c:\Winnt\system32”。
5.病毒體內帶有以下特徵文字:
To netsky's creator(s):
IMHO, skynet is a decentralized peer-to-peer neural network.
we have seen P2P in Slapper in Sinit only. they may becalledskynets,
but not your shitty app
三、病毒破壞:
1.進行Ddos攻擊。病毒會建立隨機個執行緒啟動對symantec.com網站發動Ddos攻擊。
2.傳送大量的病毒郵件。
病毒運行時將會從以下擴展名:。xls,。jpg,。avi,。wma,。mp4,。mp3,。wav,。wab,。mht,。adb,。tbb,。uin.rtf.,dbx,。eml,。mmf,。nch,。mbx,。asp,。pl,。sht,。php.的檔案中搜尋有效的email地址(病毒將避開。edu結尾的email地址),並向這些地址傳送病毒郵件。
3.終止進程。
病毒將終止帶有下列字眼的進程:
"hotactio"
"sperm"
"fuck"
"porn"
"penis"
"pussy"
"taskmo"
"taskmg"
"reged"
"beagle"
"wkufind"
"intren"
"click"
"updat"
"upgrad"
"utpost."
"avwupd"
"avpupd"
"d3du"
4.刪除檔案。
病毒發作時會刪除如下檔案:
"adaware.exe"
"alevir.exe"
"arr.exe"
"backweb.exe"
"bargains.exe"
"belt.exe"
"blss.exe"
"bootconf.exe"
"bpc.exe"
"brasil.exe"
"bundle.exe"
"bvt.exe"
"cfd.exe"
"cmd32.exe"
"cmesys.exe"
"datemanager.exe"
"dcomx.exe"
"divx.exe"
"dllcache.exe"
"dllreg.exe"
"dpps2.exe"
"dssagent.exe"
"emsw.exe"
"explore.exe"
"fsg_4104.exe"
"gator.exe"
"gmt.exe"
"hbinst.exe"
"hbsrv.exe"
"hotfix.exe"
"hotpatch.exe"
"htpatch.exe"
"hxdl.exe"
"hxiul.exe"
"idle.exe"
"iedll.exe"
"iedriver.exe"
"iexplorer.exe"
"inetlnfo.exe"
"infus.exe"
"infwin.exe"
"intdel.exe"
"init.exe"
"isass.exe"
"istsvc.exe"
"jdbgmrg.exe"
"kazza.exe"
"keenvalue.exe"
"kernel32.exe"
"launcher.exe"
"lnetinfo.exe"
"loader.exe"
"mapisvc32.exe"
"md.exe"
"mfin32.exe"
"mmod.exe"
"mostat.exe"
"msapp.exe"
"msbb.exe"
"msblast.exe"
"msdos.exe"
"mscache.exe"
"msccn32.exe"
"mscman.exe"
"msdm.exe"
"msiexec16.exe"
"mslaugh.exe"
"msmgt.exe"
"msmsgri32.exe"
"msrexe.exe"
"mssys.exe"
"msvxd.exe"
"netd32.exe"
"nssys32.exe"
"nstask32.exe"
"nsupdate.exe"
"onsrvr.exe"
"optimize.exe"
"patch.exe"
"pgmonitr.exe"
"powerscan.exe"
"prizesurfer.exe"
"prmt.exe"
"prmvr.exe"
"ray.exe"
"rb32.exe"
"rcsync.exe"
"run32dll.exe"
"rundll.exe"
"rundll16.exe"
"ruxdll32.exe"
"sahagent.exe"
"save.exe"
"savenow.exe"
"sc.exe"
"scam32.exe"
"scrsvr.exe"
"scvhost.exe"
"service.exe"
"servlce.exe"
"servlces.exe"
"showbehind.exe"
"smss32.exe"
"soap.exe"
"spoler.exe"
"spoolcv.exe"
"spoolsv32.exe"
"srng.exe"
"start.exe"
"stcloader.exe"
"support.exe"
"svc.exe"
"sms.exe"
"svchosts.exe"
"svchostc.exe"
"svshost.exe"
"system.exe"
"Sysupd.exe"
"system32.exe"
"teekids.exe"
"trickler.exe"
"tsadbot.exe"
"tvmd.exe"
"tvtmd.exe"
"webdav.exe"
"win32.exe"
"win32us.exe"
"winactive.exe"
"win-BUGSFIX.EXE"
"windows.exe"
"wininetd.exe"
"wininit.exe"
"wininitx.exe"
"winlogin.exe"
"winmain.exe"
"winnet.exe"
"winppr32.exe"
"winservn.exe"
"winssk32.exe"
"winstart.exe"
"winstart001.exe"
"wintsk32.exe"
"winupdate.exe"
"wnad.exe"
"wupdt.exe"
"wupdater.exe"
"au.exe"
"ssgrate.exe"
四、安全建議:
1.建立良好的安全習慣。例如:對一些來歷不明的郵件及附屬檔案不要打開,不要上一些不太了解的網站、不要執行從Internet下載後未經防毒處理的軟體等,這些必要的習慣會使您的計算機更安全。2.關閉或刪除系統中不需要的服務。默認情況下,許多作業系統會安裝一些輔助服務,如 FTP 客戶端、Telnet 和Web伺服器。這些服務為攻擊者提供了方便,而又對用戶沒有太大用處,如果刪除它們,就能大大減少被攻擊的可能性。
3.經常升級安全補丁。據統計,有80%的網路病毒是通過系統安全漏洞進行傳播的,象紅色代碼、尼姆達等病毒,所以我們應該定期到微軟網站去下載最新的安全補丁,以防範未然。
4.使用複雜的密碼。有許多網路病毒就是通過猜測簡單密碼的方式攻擊系統的,因此使用複雜的密碼,將會大大提高計算機的安全係數。
5.迅速隔離受感染的計算機。當您的計算機發現病毒或異常時應立刻斷網,以防止計算機受到更多的感染,或者成為傳播源,再次感染其它計算機。
6.了解一些病毒知識。這樣就可以及時發現新病毒並採取相應措施,在關鍵時刻使自己的計算機免受病毒破壞:如果能了解一些註冊表知識,就可以定期看一看註冊表的自啟動項是否有可疑鍵值;如果了解一些記憶體知識,就可以經常看看記憶體中是否有可疑程式。
7.最好是安裝專業的防毒軟體進行全面監控。在病毒日益增多的今天,使用毒軟體進行防毒,是越來越經濟的選擇,不過用戶在安裝了反病毒軟體之後,應該經常進行升級、將一些主要監控經常打開(如郵件監控)、遇到問題要上報,這樣才能真正保障計算機的安全。
