病毒名称(中文):
病毒别名:
W32.Netsky.R@mm[Symantec]WORM_NETSKY.R[Trend]
威胁级别:
★☆☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
20
影响系统:
Win9xWinNTWin2000WinXPWin2003
病毒行为:
编写工具:FSG1.0压缩
传染条件:通过网络发送邮件高速传播
发作条件:
系统修改:
A、将以下文件拷贝至系统安装目录:
%SystemRoot%PandaAVEngine.exe
%SystemRoot%emp09094283.dll
%SystemRoot%uinmzertinmds.opm(该文件包含MIME编码的该蠕虫病毒)
B、在注册表主键:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
下添加以下键值:
"PandaAVEngine"="%SystemRoot%PandaAVEngine.exe"
从注册表主键:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
下删除以下键值(假如存在):
Explorer
system.
msgsvr32
winupd.exe
direct.exe
jijbl
Video
service
DeleteMe
Sentry
Taskmon
WindowsServicesHost
MicrosoftIEExecuteshell
Winsock2driver
ICMversion
MicrosoftSystemCheckup
从注册表主键:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
下删除以下键值:
system.
Video
yeahdude.exe
MicrosoftSystemCheckup
从注册表主键:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
下删除以下键值:
Explorer
au.exe
direct.exe
d3dupdate.exe
OLE
gouday.exe
rate.exe
Taskmon
WindowsServicesHost
sysmon.exe
srate.exe
ssate.exe
winupd.exe
Winsock2driver
删除以下子键:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersion
ExplorerPINF
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWksPatch
HKEY_CLASSES_ROOTCLSIDCLSID
{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32
发作现象:
非凡说明:
A、创建一个名为“89845848594808308439858307378280987074387498739847”的互斥体以只答应该病毒的一个实例运行;
B、扫描C-Z盘,从以下后缀的文件中搜索Email地址:
.eml
.txt
.php
.asp
.wab
.doc
.sht
.oft
.msg
.vbs
.rtf
.uin
.shtm
.cgi
.dhtm
.adb
.tbb
.dbx
.pl
.htm
.html
.jsp
.wsh
.xml
.cfg
.mbx
.mdx
.mht
.mmf
.nch
.ods
.stm
.xls
.ppt
C、通过使用其自带的SMTP引擎来向搜索到的邮件地址发送其自身的拷贝。发送的邮件具有以下特征:
发件人:<欺骗性的词语>
主题:
RE:Document[X]
(X表示一个随机数字)
正文:
Excuseme,
theimportantdocumentisattached,
Yoursincerely
附件:
Document[X].pif