Worm.Netsky.d - 王朝网络宽屏版

病毒别名：

处理时间：2004-04-12

威胁级别：★

中文名称：网络天空变种D

病毒类型：蠕虫

影响系统：Windows 2000, Windows 95, Windows 98, Windows Me,

病毒行为:

netsky

编写工具:

传染条件:

发作条件:

系统修改:

1,创建一个名为“[SkyNet.cz]SystemsMutex”的互斥体。此互斥体仅允许该蠕虫的一个实例在内存中执行。

将自身复制为 %Windir%winlogon.exe。

2,将值：

"ICQ Net" = "%Windir%winlogon.exe -stealth"

添加到注册表键：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

这样，此蠕虫便可在 Windows启动时运行。

3,删除以下值：

Taskmon

Explorer

Windows Services Host

KasperskyAV

这些值位于注册表键：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun

4,删除以下值：

System.

msgsvr32

DELETE ME

service

Sentry

这些值位于注册表键：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

5,删除以下值：

d3dupdate.exe

au.exe

OLE

这些值位于注册表键：

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun

6,删除值：

System.

该值位于以下注册表键：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices

删除注册表键：

HKEY_CLASSES_ROOTCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerPINF

HKEY_LOCAL_MACHINESystemCurrentControlSetServicesWksPatch

发作现象:

1,如果时间介于 2004 年 3 月 2 日（星期二）的 6:00am 到 9:00am，PC 扬声器将连续不断地发出蜂鸣声。每次蜂鸣都将以随机频率、持续一段长度不等的时间。

2,在驱动器 C 到 Z 上扫描以下文件类型，查找电子邮件地址：

.dhtm

.cgi

.shtm

.msg

.oft

.sht

.dbx

.tbb

.adb

.doc

.wab

.asp

.uin

.rtf

.vbs

.html

.htm

.pl

.php

.txt

.eml

使用它自己的 SMTP 引擎将其自身发送到在上述位置找到的电子邮件地址，向每个地址发送一次。该蠕虫使用可用的本地 DNS 服务器（通过 API 检索），执行 MX 查找来搜索收件人地址。如果本地 DNS 不可用，它将对以下硬编码的服务器列表执行查找：

145.253.2.171

151.189.35

193.141.40.42

193.189.244.205

193.193.144.12

193.193.158.10

194.25.2.129

194.25.2.130

194.25.2.131

194.25.2.132

194.25.2.133

194.25.2.134

195.185.185.195

195.20.224.234

2185.252.136

2185.252.73

2185.253.70

244.160.8

27.128.162

27.128.165

2191.74.19

25.97.137

62.155.255.16

此类电子邮件具有以下特征：

发件人：<欺骗性地址>

主题：（下列之一）

Re: Your website

Re: Your product

Re: Your letter

Re: Your archive

Re: Your text

Re: Your bill

Re: Your details

Re: My details

Re: Word file

Re: Excel file

Re: Details

Re: Approved

Re: Your software

Re: Your music

Re: Here

Re: Re: Re: Your document

Re: Hello

Re: Hi

Re: Re: Message

Re: Your picture

Re: Here is the document

Re: Your document

Re: Thanks!

Re: Re: Thanks!

Re: Re: Document

Re: Document

消息：（下列之一）

Your file is attached.

Please read the attached file.

Please have a look at the attached file.

See the attached file for details.

Here is the file.

Your document is attached.

附件：（下列之一）

your_website.pif

your_product.pif

your_letter.pif

your_archive.pif

your_text.pif

your_bill.pif

your_details.pif

document_word.pif

document_excel.pif

my_details.pif

all_document.pif

application.pif

mp3music.pif

yours.pif

document_4351.pif

your_file.pif

message_details.pif

your_picture.pif

document_full.pif

message_part2.pif

document.pif

your_document.pif

3,该蠕虫避免向包含以下字符串的地址发送电子邮件：

skynet

messagelabs

abuse

fbi

orton

f-pro

aspersky

cafee

orman

itdefender

f-secur

avp

spam

ymantec

antivi

icrosoft

特别说明: