I-Worm/NetSky.q
病毒长度:29,568 bytes
病毒类型:网络蠕虫
影响平台:Win9x/Me/2000/2003/XP/NT
I-Worm/NetSky.q是“网络天空”网络蠕虫的最近变种,用FSG压缩过,它在感染计算机上的硬盘和网络映射驱动器上搜索电子邮件地址,利用自带的SMTP引擎通过发送邮件进行传播,也可能会通过拷贝自身到共享软件进行传播。
其传播过程及特征如下:
1.在安装目录下:拷贝自身为FVProtect.exe;置入文件userconfig9x.dll,装载后运行;生成base64.tmp、zip1.tmp、zip2.tmp、zipped.tmp等文件
2.修改注册表:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下添加"Norton Antivirus AV"="%Windir%FVProtect.exe"
删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下的Explorer,system.,msgsvr32,winupd.exe,direct.exe,
jijbl ,service,Sentry等键值
删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices下的systme和video 键值
删除HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun下的Explorer,au.exe,direct.exe,d3dupdate.exe,OLE
gouday.exe,rate.exe,Taskmon,Windows Services Host,sysmon.exe ,
srate.exe,ssate.exe ,winupd.exe等键值
删除HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExplorerPINF子键
删除HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWksPatch子键
删除HKEY_CLASSES_ROOTCLSIDCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32子键
3.扫描硬盘驱动器下包含下列字符串的文件夹:bear,donkey,download,ftp,htdocs,
http,icq,kazaa,lime,morpheus,mule,my,shared,folder,
shar,shared,iles,upload。蠕虫被复制到这些文件夹下。
4.利用其自身的SMTP引擎向搜索到的电子邮件地址发送带毒邮件。信件特征如下:
发信人:<伪造>
主题:<不一定>
附件:以.pif,.exe或.zip为扩展名的文件
此外蠕虫会自动避免向国内外杀毒厂商发送邮件
