病毒名称:
Worm.Netsky.d
类别: 蠕虫
病毒资料:
破坏方法:
一个蠕虫病毒
病毒行为:
一旦执行,病毒将执行以下操作:
1.本地首先将创建一个名为:"[SkyNet.cz]SystemsMutex"的互斥量来保证只运行病毒的一个副本;
2.复制自己到windows目录下:
文件路径: %WINDIR%\Winlogon.exe;
3.添加如下键值:
"ICQ Net" = "%WINDIR%\winlogon.exe -stealth" 到注册表键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run 下,这是病毒自启动的伎俩;
删除键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run下的如下键值:
Taskmon
EXPlorer
Windows Services Host
KASPerskyAV
删除键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run下的如下键值:
System.
msgsvr32
DELETE ME
service
Sentry
删除键:
HKEY_CURRENT_USER\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run下的如下键值:
d3dupdate.exe
au.exe
OLE
删除键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunServices下的如下键值:
System.
删除子键:
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
其中键值:
"KasperskyAV"是病毒:"Worm.Mimail.t"的自启动键值;
"Taskmon" 和"Explorer"是病毒:"SCO炸弹"的键值.
4.病毒从带有下列扩展名的文件中搜索Email地址:
.eml,.txt, .PHP ,.pl ,.htm ,.Html ,.vbs ,.rtf ,.uin ,.asp ,.wab ,.doc ,.adb
.tbb ,.dbx ,.sht ,.oft ,.msg ,.shtm ,.cgi ,.dhtm
6.病毒使用自带的SMTP引擎向上面搜到的Email地址发送带毒邮件:
邮件带有如下特征:
标题为下列之一:
Re: Your website,Re: Your prodUCt,Re: Your letter,Re: Your archive,Re: Your text
Re: Details,Re: Approved,Re: Your software,Re: Your music,Re: Re:
Re: Your document
......
邮件的附件名:
your_website.pif,your_product.pif,your_letter.pif,your_archive.pif,your_text.pif
your_bill.pif,your_details.pif,document_Word.pif,document_Excel.pif,
my_details.pif,all_document.pif,application.pif,mp3music.pif,yours.pif,
document_4351.pif,your_file.pif,message_details.pif,your_picture.pif,
document_full.pif
message_part2.pif...
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2004-3-1