Worm.Netsky.d

王朝c#·作者佚名  2008-08-14
窄屏简体版  字體: |||超大  

病毒名称(中文):

网络天空变种D

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

蠕虫病毒

病毒长度:

6

影响系统:

Win9xWin2000

病毒行为:

netsky

编写工具:

vc

传染条件:

发作条件:

系统修改:

1,创建一个名为“[SkyNet.cz]SystemsMutex”的互斥体。此互斥体仅答应该蠕虫的一个实例在内存中执行。

将自身复制为%Windir%winlogon.exe。

2,将值:

"ICQNet"="%Windir%winlogon.exe-stealth"

添加到注册表键:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

这样,此蠕虫便可在Windows启动时运行。

3,删除以下值:

Taskmon

Explorer

WindowsServicesHost

KasperskyAV

这些值位于注册表键:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun

4,删除以下值:

System.

msgsvr32

DELETEME

service

Sentry

这些值位于注册表键:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

5,删除以下值:

d3dupdate.exe

au.exe

OLE

这些值位于注册表键:

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun

6,删除值:

System.

该值位于以下注册表键:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices

删除注册表键:

HKEY_CLASSES_ROOTCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerPINF

HKEY_LOCAL_MACHINESystemCurrentControlSetServicesWksPatch

发作现象:

1,假如时间介于2004年3月2日(星期二)的6:00am到9:00am,PC扬声器将连续不断地发出蜂鸣声。每次蜂鸣都将以随机频率、持续一段长度不等的时间。

2,在驱动器C到Z上扫描以下文件类型,查找电子邮件地址:

.dhtm

.cgi

.shtm

.msg

.oft

.sht

.dbx

.tbb

.adb

.doc

.wab

.asp

.uin

.rtf

.vbs

.html

.htm

.pl

.php

.txt

.eml

使用它自己的SMTP引擎将其自身发送到在上述位置找到的电子邮件地址,向每个地址发送一次。该蠕虫使用可用的本地DNS服务器(通过API检索),执行MX查找来搜索收件人地址。假如本地DNS不可用,它将对以下硬编码的服务器列表执行查找:

145.253.2.171

151.189.35

193.141.40.42

193.189.244.205

193.193.144.12

193.193.158.10

194.25.2.129

194.25.2.129

194.25.2.130

194.25.2.131

194.25.2.132

194.25.2.133

194.25.2.134

195.185.185.195

195.20.224.234

2185.252.136

2185.252.73

2185.253.70

244.160.8

27.128.162

27.128.165

2191.74.19

25.97.137

62.155.255.16

此类电子邮件具有以下特征:

发件人:<欺骗性地址>

主题:(下列之一)

Re:Yourwebsite

Re:Yourproduct

Re:Yourletter

Re:Yourarchive

Re:Yourtext

Re:Yourbill

Re:Yourdetails

Re:Mydetails

Re:Wordfile

Re:Excelfile

Re:Details

Re:Approved

Re:Yoursoftware

Re:Yourmusic

Re:Here

Re:Re:Re:Yourdocument

Re:Hello

Re:Hi

Re:Re:Message

Re:Yourpicture

Re:Hereisthedocument

Re:Yourdocument

Re:Thanks!

Re:Re:Thanks!

Re:Re:Document

Re:Document

消息:(下列之一)

Yourfileisattached.

Pleasereadtheattachedfile.

Pleasehavealookattheattachedfile.

Seetheattachedfilefordetails.

Hereisthefile.

Yourdocumentisattached.

附件:(下列之一)

your_website.pif

your_product.pif

your_letter.pif

your_archive.pif

your_text.pif

your_bill.pif

your_details.pif

document_word.pif

document_excel.pif

my_details.pif

all_document.pif

application.pif

mp3music.pif

yours.pif

document_4351.pif

your_file.pif

message_details.pif

your_picture.pif

document_full.pif

message_part2.pif

document.pif

your_document.pif

3,该蠕虫避免向包含以下字符串的地址发送电子邮件:

skynet

messagelabs

abuse

fbi

orton

f-pro

aspersky

cafee

orman

itdefender

f-secur

avp

spam

ymantec

antivi

icrosoft

非凡说明:

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航