利用邮件高速传播"网络天空"变种 D分析报告

告诉您的位置：首页 > 病毒专栏 > 病毒档案 > 正文

利用邮件高速传播"网络天空"变种 D分析报告

2004年03月02日01:36:40　金山毒霸安全资讯网　

病毒信息
　　病毒名称: Worm.Netsky.D
　　中文名称: 网络天空变种D
　　威胁级别: 3A
　　病毒别名:
　　　　“网络天下”
　　　　WORM_NETSKY.D [Trend]
　　　　W32/Netsky@MM [McAfee]
　　　　W32/Netsky.D.worm [Panda]
　　　　W32/Netsky-D [Sophos]
　　I-Worm.Netsky.d [Kaspersky]
　　病毒类型: 蠕虫
　　受影响系统: Win9x/Win2000/WinXP/Windows Server 2003

技术特点
　　1、传染条件:
　　利用邮件高速传播，造成邮件服务不堪重负，出现不稳定或瘫痪的现象。

　　2、系统修改：
　　A、建立互斥体“"[SkyNet.cz]SystemsMutex”，使病毒只有一个进程在运行。

　　B、自我复制到WINDOWS安装目录：
　　%windir%\winlogon.exe

　　C、添加以下键值
　　"ICQ Net" = "%Windir%\winlogon.exe -stealth"
　　到
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　以便病毒可随机自启动；

　　D、从以下主键中
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　删除以下键值：
　　Taskmon
　　Explorer
　　Windows Services Host
　　KasperskyAV
　　病毒可清除其它的蠕虫病毒（Worm.Novarg.a、 Worm.Novarg.b、Worm.Mimail.t）所添加的键值；

　　E、从以下主键中
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　删除以下键值：
　　System.
　　gsvr32
　　LETE ME
　　Service
　　Sentry

　　F、从以下主键中
　　HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除以下键值：
　　d3dupdate.exe
　　au.exe
　　OLE

　　G、从以下主键中
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
RunServices

　　删除以下键值：
　　system

　　H、删除以下主键：
　　HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\
　　InProcServer32
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
　　Explorer\PINF
　　HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WksPatch

　　I、搜索具有以下后缀名的文件中，查找的电子邮件地址：
　　.dhtm .cgi .shtm .msg .oft .sht .dbx .tbb .adb .doc .wab .asp
.uin .rtf .vbs .html .htm .pl .php .txt .eml

　　J、使用自己的发信引擎进行发信。其邮件特征如下：

　　发件人: <从搜索到的邮件地址中仍选>

　　主题: (使用以下字符串中的任意)
　　Re: Your website ;Re: Your product ;Re: Your letter ;Re: Your archive ;
Re: Your text ;Re: Your bill ;Re: Your details ;Re: My details ;
Re: Word file ;Re: Excel file ;Re: Details ;Re: Approved ;Re: Your software ;
Re: Your music ;Re: Here ;Re: Re: Re: Your document ;Re: Hello ;
Re: Hi ;Re: Re: Message ;Re: Your picture ;Re: Here is the document ;
Re: Your document ; Re: Thanks! ; Re: Re: Thanks! ;Re: Re: Document ;
Re: Document

　　内容: (使用以下字符串中的任意)
　　Your file is attached.
　　Please read the attached file.
　　Please have a look at the attached file.
　　See the attached file for details.
　　Here is the file.
　　Your document is attached.

　　附件名称: (使用以下文件名中的任意)
　　your_website.pif ;your_product.pif ;your_letter.pif ;your_archive.pif
;your_text.pif ;your_bill.pif ;your_details.pif ;document_word.pif
;document_excel.pif ;my_details.pif ; all_document.pif ; application.pif
;mp3music.pif ;yours.pif ;document_4351.pif ;your_file.pif ;
message_details.pif ; your_picture.pif ; document_full.pif ;
message_part2.pif ; document.pif ; your_document.pif

　　病毒会避免向含有以下字符串的邮件地址发送病毒邮件：
　　skynet ;messagelabs ;abuse ;fbi ;orton ; f-pro ; aspersky ; cafee ;
orman ;
itdefender ; f-secur ;avp ; spam ; ymantec ;antivi ;icrosoft;

　　3、发作现象:
　　病毒会在2004年3月份星期二的早上6点、7点、8点控制PC喇叭发出随机的声音

解决方案
　　A、金山毒霸已经于3月2日对该病毒进行了应急处理，请升级最新版可完全查该病毒；

　　B、请一定留意收到的邮件，如果有附件，请不要打开附件，更不要执行附件中的可执行程序，如果必须打开附件，请使用最新病毒库的反病毒软件检测后再打开；

　　C、手工解决方案
　　步骤一，删除病毒主程序
　　请使用干净的系统软盘引导系统到纯DOS模式，
　　然后转到WINDOWS安装目录（默认的安装目录为C:\windows\），输入以下命令，以便删除病毒程序： C:\windows\>del winlogon.exe

　　完毕后，取出系统软盘，重新引导到Windows系统。
　　如果手中没有系统软件盘，可以在引导系统时按“F5”键也可进入纯DOS模式。

　　步骤二，清除病毒在注册表里添加的项
　　打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter；
　　在左边的面板中, 双击（按箭头顺序查找，找到后双击）：
　　HKEY_LOCAL_MACHINE>Software>Windows>CurrentVersion>Run
　　在右边的面板中, 找到并删除如下项目：
　　"ICQ Net" = "%Windir%\winlogon.exe -stealth"
　　关闭注册表编辑器.

　　对于系统是Windows NT,Windows2000,Windows XP,Windows 2003 sever
　　步骤一，使用进程序管里器结束病毒进程
　　右键单击任务栏，弹出菜单，选择“任务管理器”，调出“Windows任务管理器”窗口。在任务管理器中，单击“进程”标签，在例表栏内找到病毒进程“winlogon.exe”，单击“结束进程按钮”，点击“是”，结束病毒进程，然后关闭“Windows任务管理器”。

　　步骤二，查找并删除病毒程序
　　通过“我的电脑”或“资源管理器”进入安装目录（Winnt或windows)，找到文件“winlogon.exe ”，将它删除，注意清空回收站内的内容。

　　步骤三，清除病毒在注册表里添加的项
　　打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter；
　　在左边的面板中, 双击（按箭头顺序查找，找到后双击）：
　　HKEY_LOCAL_MACHINE>Software>Windows>CurrentVersion>Run
　　在右边的面板中, 找到并删除如下项目：
　　"ICQ Net" = "%Windir%\winlogon.exe -stealth"
　　关闭注册表编辑器.