Worm.Netsky.d

病毒名称(中文):

网络天空变种D

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

蠕虫病毒

病毒长度:

6

影响系统:

Win9xWin2000

病毒行为:

netsky

编写工具:

vc

传染条件:

发作条件:

系统修改:

1,创建一个名为“[SkyNet.cz]SystemsMutex”的互斥体。此互斥体仅答应该蠕虫的一个实例在内存中执行。

将自身复制为%Windir%winlogon.exe。

2,将值：

"ICQNet"="%Windir%winlogon.exe-stealth"

添加到注册表键：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

这样，此蠕虫便可在Windows启动时运行。

3,删除以下值：

Taskmon

Explorer

WindowsServicesHost

KasperskyAV

这些值位于注册表键：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun

4,删除以下值：

System.

msgsvr32

DELETEME

service

Sentry

这些值位于注册表键：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

5,删除以下值：

d3dupdate.exe

au.exe

OLE

这些值位于注册表键：

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun

6,删除值：

System.

该值位于以下注册表键：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices

删除注册表键：

HKEY_CLASSES_ROOTCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerPINF

HKEY_LOCAL_MACHINESystemCurrentControlSetServicesWksPatch

发作现象:

1,假如时间介于2004年3月2日（星期二）的6:00am到9:00am，PC扬声器将连续不断地发出蜂鸣声。每次蜂鸣都将以随机频率、持续一段长度不等的时间。

2,在驱动器C到Z上扫描以下文件类型，查找电子邮件地址：

.dhtm

.cgi

.shtm

.msg

.oft

.sht

.dbx

.tbb

.adb

.doc

.wab

.asp

.uin

.rtf

.vbs

.html

.htm

.pl

.php

.txt

.eml

使用它自己的SMTP引擎将其自身发送到在上述位置找到的电子邮件地址，向每个地址发送一次。该蠕虫使用可用的本地DNS服务器（通过API检索），执行MX查找来搜索收件人地址。假如本地DNS不可用，它将对以下硬编码的服务器列表执行查找：

145.253.2.171

151.189.35

193.141.40.42

193.189.244.205

193.193.144.12

193.193.158.10

194.25.2.129

194.25.2.129

194.25.2.130

194.25.2.131

194.25.2.132

194.25.2.133

194.25.2.134

195.185.185.195

195.20.224.234

2185.252.136

2185.252.73

2185.253.70

244.160.8

27.128.162

27.128.165

2191.74.19

25.97.137

62.155.255.16

此类电子邮件具有以下特征：

发件人：<欺骗性地址>

主题：（下列之一）

Re:Yourwebsite

Re:Yourproduct

Re:Yourletter

Re:Yourarchive

Re:Yourtext

Re:Yourbill

Re:Yourdetails

Re:Mydetails

Re:Wordfile

Re:Excelfile

Re:Details

Re:Approved

Re:Yoursoftware

Re:Yourmusic

Re:Here

Re:Re:Re:Yourdocument

Re:Hello

Re:Hi

Re:Re:Message

Re:Yourpicture

Re:Hereisthedocument

Re:Yourdocument

Re:Thanks!

Re:Re:Thanks!

Re:Re:Document

Re:Document

消息：（下列之一）

Yourfileisattached.

Pleasereadtheattachedfile.

Pleasehavealookattheattachedfile.

Seetheattachedfilefordetails.

Hereisthefile.

Yourdocumentisattached.

附件：（下列之一）

your_website.pif

your_product.pif

your_letter.pif

your_archive.pif

your_text.pif

your_bill.pif

your_details.pif

document_word.pif

document_excel.pif

my_details.pif

all_document.pif

application.pif

mp3music.pif

yours.pif

document_4351.pif

your_file.pif

message_details.pif

your_picture.pif

document_full.pif

message_part2.pif

document.pif

your_document.pif

3,该蠕虫避免向包含以下字符串的地址发送电子邮件：

skynet

messagelabs

abuse

fbi

orton

f-pro

aspersky

cafee

orman

itdefender

f-secur

avp

spam

ymantec

antivi

icrosoft

非凡说明: