概要
病毒別名:W32.Netsky.R@mm 【Symantec】 WORM_NETSKY.R 【Trend】 Worm.NetSky.s.enc 【瑞星】 I-Worm/NetSky.s 【江民】
處理時間:
威脅級別:★
中文名稱:
病毒類型:蠕蟲
影響系統:Win9x/WinMe/WinNT/Win2000/WinXP/Win2003
病毒行為:
編寫工具:FSG1.0壓縮
傳染條件:通過網路傳送郵件高速傳播
發作條件:
系統修改:
A、將以下檔案拷貝至系統安裝目錄:
%SystemRoot%PandaAVEngine.exe
%SystemRoot% emp09094283.dll
%SystemRoot%uinmzertinmds.opm(該檔案包含MIME編碼的該蠕蟲病毒)
B、在註冊表主鍵:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
下添加以下鍵值:
"PandaAVEngine" = "%SystemRoot%PandaAVEngine.exe"
從註冊表主鍵:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
下刪除以下鍵值(如果存在):
Explorer
system.
msgsvr32
winupd.exe
direct.exe
jijbl
Video
service
Delete Me
Sentry
Taskmon
Windows Services Host
Microsoft IE Execute shell
Winsock2 driver
ICM version
Microsoft System Checkup
從註冊表主鍵:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
下刪除以下鍵值:
system.
Video
yeahdude.exe
Microsoft System Checkup
從註冊表主鍵:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
下刪除以下鍵值:
Explorer
au.exe
direct.exe
d3dupdate.exe
OLE
gouday.exe
rate.exe
Taskmon
Windows Services Host
sysmon.exe
srate.exe
ssate.exe
winupd.exe
Winsock2 driver
刪除以下子鍵:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersion
ExplorerPINF
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWksPatch
HKEY_CLASSES_ROOTCLSIDCLSID
InProcServer32
發作現象:
特別說明:
A、創建一個名為“89845848594808308439858307378280987074387498739847”的互斥體以只允許該病毒的一個實例運行;
B、掃描C-Z盤,從以下後綴的檔案中搜尋Email地址:
.eml
.txt
.php
.asp
.wab
.doc
.sht
.oft
.msg
.vbs
.rtf
.uin
.shtm
.cgi
.dhtm
.adb
.tbb
.dbx
.pl
.htm
.html
.jsp
.wsh
.xml
.cfg
.mbx
.mdx
.mht
.mmf
.nch
.ods
.stm
.xls
.ppt
C、通過使用其自帶的SMTP引擎來向搜尋到的郵件地址傳送其自身的拷貝。傳送的郵件具有以下特徵:
發件人: <欺騙性的詞語>
主題:
RE: Document 【X】
(X表示一個隨機數字)
正文:
Excuse me,
the important document is attached,
Your sincerely
附屬檔案:
Document【X】.pif
