Worm.Netsky.d

病毒名称:

Worm.Netsky.d

类别： 蠕虫

病毒资料：

破坏方法：

一个蠕虫病毒

病毒行为：

一旦执行,病毒将执行以下操作:

1.本地首先将创建一个名为:"[SkyNet.cz]SystemsMutex"的互斥量来保证只运行病毒的一个副本;

2.复制自己到windows目录下:

文件路径： ％WINDIR％\Winlogon.exe;

3.添加如下键值:

"ICQ Net" = "％WINDIR％\winlogon.exe -stealth" 到注册表键:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

\Windows\CurrentVersion\Run 下,这是病毒自启动的伎俩;

删除键:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\SOFTWARE\Microsoft

\Windows\CurrentVersion\Run下的如下键值:

Taskmon

EXPlorer

Windows Services Host

KASPerskyAV

删除键:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

\Windows\CurrentVersion\Run下的如下键值:

System.

msgsvr32

DELETE ME

service

Sentry

删除键:

HKEY_CURRENT_USER\SOFTWARE\Microsoft

\Windows\CurrentVersion\Run下的如下键值:

d3dupdate.exe

au.exe

OLE

删除键:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

\CurrentVersion\RunServices下的如下键值:

System.

删除子键:

HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32

其中键值:

"KasperskyAV"是病毒:"Worm.Mimail.t"的自启动键值;

"Taskmon" 和"Explorer"是病毒:"SCO炸弹"的键值.

4.病毒从带有下列扩展名的文件中搜索Email地址:

.eml,.txt, .PHP ,.pl ,.htm ,.Html ,.vbs ,.rtf ,.uin ,.asp ,.wab ,.doc ,.adb

.tbb ,.dbx ,.sht ,.oft ,.msg ,.shtm ,.cgi ,.dhtm

6.病毒使用自带的SMTP引擎向上面搜到的Email地址发送带毒邮件:

邮件带有如下特征:

标题为下列之一:

Re: Your website,Re: Your prodUCt,Re: Your letter,Re: Your archive,Re: Your text

Re: Details,Re: Approved,Re: Your software,Re: Your music,Re: Re:

Re: Your document

......

邮件的附件名：

your_website.pif,your_product.pif,your_letter.pif,your_archive.pif,your_text.pif

your_bill.pif,your_details.pif,document_Word.pif,document_Excel.pif,

my_details.pif,all_document.pif,application.pif,mp3music.pif,yours.pif,

document_4351.pif,your_file.pif,message_details.pif,your_picture.pif,

document_full.pif

message_part2.pif...

病毒的清除法：

使用光华反病毒软件，彻底删除。

病毒演示：

病毒FAQ：

Windows下的PE病毒。

发现日期：

2004-3-1

• ·I-Worm.Ghost.g
• ·I-Worm.Pawur.a
• ·I-Worm.Alcaul.af
• ·Worm.P2P.VB.s
• ·I-Worm.Hiton.enc
• ·I-Worm.Petik.a
• ·I-Worm.FreeTrip.f
• ·Worm.IRC.Golember.a
• ·Worm.IRC.Golember.h
• ·Worm.IRC.Golember.e