Worm.Netsky.d

王朝c#·作者佚名  2008-05-31
窄屏简体版  字體: |||超大  

病毒名称:

Worm.Netsky.d

类别: 蠕虫

病毒资料:

破坏方法:

一个蠕虫病毒

病毒行为:

一旦执行,病毒将执行以下操作:

1.本地首先将创建一个名为:"[SkyNet.cz]SystemsMutex"的互斥量来保证只运行病毒的一个副本;

2.复制自己到windows目录下:

文件路径: %WINDIR%\Winlogon.exe;

3.添加如下键值:

"ICQ Net" = "%WINDIR%\winlogon.exe -stealth" 到注册表键:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

\Windows\CurrentVersion\Run 下,这是病毒自启动的伎俩;

删除键:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\SOFTWARE\Microsoft

\Windows\CurrentVersion\Run下的如下键值:

Taskmon

EXPlorer

Windows Services Host

KASPerskyAV

删除键:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

\Windows\CurrentVersion\Run下的如下键值:

System.

msgsvr32

DELETE ME

service

Sentry

删除键:

HKEY_CURRENT_USER\SOFTWARE\Microsoft

\Windows\CurrentVersion\Run下的如下键值:

d3dupdate.exe

au.exe

OLE

删除键:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

\CurrentVersion\RunServices下的如下键值:

System.

删除子键:

HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32

其中键值:

"KasperskyAV"是病毒:"Worm.Mimail.t"的自启动键值;

"Taskmon" 和"Explorer"是病毒:"SCO炸弹"的键值.

4.病毒从带有下列扩展名的文件中搜索Email地址:

.eml,.txt, .PHP ,.pl ,.htm ,.Html ,.vbs ,.rtf ,.uin ,.asp ,.wab ,.doc ,.adb

.tbb ,.dbx ,.sht ,.oft ,.msg ,.shtm ,.cgi ,.dhtm

6.病毒使用自带的SMTP引擎向上面搜到的Email地址发送带毒邮件:

邮件带有如下特征:

标题为下列之一:

Re: Your website,Re: Your prodUCt,Re: Your letter,Re: Your archive,Re: Your text

Re: Details,Re: Approved,Re: Your software,Re: Your music,Re: Re:

Re: Your document

......

邮件的附件名:

your_website.pif,your_product.pif,your_letter.pif,your_archive.pif,your_text.pif

your_bill.pif,your_details.pif,document_Word.pif,document_Excel.pif,

my_details.pif,all_document.pif,application.pif,mp3music.pif,yours.pif,

document_4351.pif,your_file.pif,message_details.pif,your_picture.pif,

document_full.pif

message_part2.pif...

病毒的清除法:

使用光华反病毒软件,彻底删除。

病毒演示:

病毒FAQ:

Windows下的PE病毒。

发现日期:

2004-3-1

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航