Worm.NetSky.S

病毒名称(中文):

病毒别名:

W32.Netsky.R@mm[Symantec]WORM_NETSKY.R[Trend]

威胁级别:

★☆☆☆☆

病毒类型:

蠕虫病毒

病毒长度:

20

影响系统:

Win9xWinNTWin2000WinXPWin2003

病毒行为:

编写工具:FSG1.0压缩

传染条件:通过网络发送邮件高速传播

发作条件:

系统修改:

A、将以下文件拷贝至系统安装目录：

%SystemRoot%PandaAVEngine.exe

%SystemRoot%emp09094283.dll

%SystemRoot%uinmzertinmds.opm(该文件包含MIME编码的该蠕虫病毒)

B、在注册表主键：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

下添加以下键值：

"PandaAVEngine"="%SystemRoot%PandaAVEngine.exe"

从注册表主键：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

下删除以下键值(假如存在)：

Explorer

system.

msgsvr32

winupd.exe

direct.exe

jijbl

Video

service

DeleteMe

Sentry

Taskmon

WindowsServicesHost

MicrosoftIEExecuteshell

Winsock2driver

ICMversion

MicrosoftSystemCheckup

从注册表主键：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices

下删除以下键值：

system.

Video

yeahdude.exe

MicrosoftSystemCheckup

从注册表主键：

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun

下删除以下键值：

Explorer

au.exe

direct.exe

d3dupdate.exe

OLE

gouday.exe

rate.exe

Taskmon

WindowsServicesHost

sysmon.exe

srate.exe

ssate.exe

winupd.exe

Winsock2driver

删除以下子键：

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersion

ExplorerPINF

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWksPatch

HKEY_CLASSES_ROOTCLSIDCLSID

{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32

发作现象:

非凡说明:

A、创建一个名为“89845848594808308439858307378280987074387498739847”的互斥体以只答应该病毒的一个实例运行；

B、扫描C-Z盘，从以下后缀的文件中搜索Email地址：

.eml

.txt

.php

.asp

.wab

.doc

.sht

.oft

.msg

.vbs

.rtf

.uin

.shtm

.cgi

.dhtm

.adb

.tbb

.dbx

.pl

.htm

.html

.jsp

.wsh

.xml

.cfg

.mbx

.mdx

.mht

.mmf

.nch

.ods

.stm

.xls

.ppt

C、通过使用其自带的SMTP引擎来向搜索到的邮件地址发送其自身的拷贝。发送的邮件具有以下特征：

发件人:<欺骗性的词语>

主题:

RE:Document[Ｘ]

(Ｘ表示一个随机数字)

正文:

Excuseme,

theimportantdocumentisattached,

Yoursincerely

附件:

Document[Ｘ].pif

• ·Win32.Hack.SdBot.bp
• ·Win32.Troj.QQNark.a
• ·Win32.Hack.Harvester23.
• ·Win32.Hack.MSNCdFusion.
• ·Win32.Troj.PinkPigeon
• ·Worm.Tanatos.e
• ·Worm.Wallon.f
• ·Worm.Nihilit.u
• ·Win32.Troj.mir2WLHA
• ·Win32.Hack.Agobot.Ge