I-Worm/NetSky.k
I-Worm/NetSky.k是I-Worm/NetSky.d以来的又一个传播比较广的“网络天空”病毒变种。属于群发邮件的网络蠕虫类病毒,它可以利用自身的SMTP引擎通过电子邮件向外发送病毒自身进行传播,并遍历驱动器中文件夹并将病毒自身复制到这些文件夹中。
此病毒的传播过程如下:
1.将病毒自身复制到Windows的安装路径下(默认为Windows或者Winnt),文件名为Winlogon.exe。
2.在系统注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下添加
"ICQ Net" = "%Windir%winlogon.exe -stealth"键值,以使生成的病毒体文件可以与Windows系统一同启动,
3.删除注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 下的键值
"Taskmon" "Explorer" "KasperskyAv" "system." "msgsvr32"
"DELETEME" "service" "Sentry" "Windows Services Host"
4.删除下列注册表键值:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下的System.
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun下的"Taskmon" "Explorer" "KasperskyAv" "d3dupdate.exe" "au.exe"
"OLE" "Windows ervices Host"
5.删除下列注册表子键:
HKEY_CLASSES_ROOTCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerPINF
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesWksPatch
6.在所有硬盘驱动器以及映射驱动器中的下列文件类型中搜索有效的Email地址,作为传播对象:
.dhtm .cgi .shtm .msg .oft .sht .dbx .tbb .adb
.doc .wab .asp .uin .rtf .vbs .html .htm .pl .php
.txt .eml
7.利用自身的SMTP引擎向所有找到的Email地址发送带有病毒的电子邮件,每个地址将发送一次。病毒试图得到本地DNS(通过调用API函数),如果得到则针对收信人进行MX查询,否则使用病毒自带的DNS.
8.病毒还会自动的避免向各个杀毒厂商发送所带病毒邮件.
9.如果被感染计算机的系统时间是2004年3月2日的上午6点和9点之间,病毒会使计算机的喇叭不停地发出响声。
10.病毒的邮件主题、内容和附件都是可变的,其附件为.pif文件。