病毒名称(中文):
网络天空变种T
病毒别名:
WORM_NETSKY.T[Trend]W32/Netsky.t@MM[McAfee]
威胁级别:
★★☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
18
影响系统:
Win9xWin2000WinXPWin2003
病毒行为:
网络天空家族
编写工具:
VC编写
传染条件:
发作条件:
运行时发作
系统修改:
A、创建以下互诉体,确保病毒只有一个进程在运行
Protect_USUkUyUnUeUtU_Mutex
SyncMutex_USUkUyUnUeUtU
B、自我复制到系统安装目录:
%Windir%EasyAV.exe
(其中,%Windir%在Windows95/98/Me下为C:Windows,在WindowsNT/2000下为C:Winnt,在WindowsXP下为C:Windows)
C、病毒会在系统安装目录释放以下文件:
UINMZERTINMDS.OPM该文件是病毒编码后的复本
D、添加以下键值
"EasyAV"="%Windir%EasyAV.exe"
到
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
以便病毒可随机自启动
E、病毒在6789端口开后门,假如有攻击者利用该端口发送一个可执行文件到病毒感染的系统,病毒会将该文件保存为一个随机文件名的EXE文件,并立即执行它。可使系统感染其它类型的病毒
F、病毒在2004年4月14日到2004年4月23日对以下网址时行DoS攻击
www.cracks.am
www.emule.de
www.kazaa.com
www.freemule.net
www.keygen.us
G、病毒扫描驱动器C到Z,并从具有以下后缀名的文件中收集邮件地址:
.eml、.txt、.php、.asp、.wab、.doc、.sht、.oft、.msg、.vbs、.rtf、.uin、.shtm、.cgi、.dhtm、.adb、.tbb、.dbx、.pl、.htm、.html、.jsp、.wsh、.xml、.cfg、.mbx、.mdx、.mht、.mmf、.nch、.ods、.stm、.xls、.ppt
H、假如系统日期不为2004年4月,或日小于14日或大于16日病毒会尝试使用自己的SMTP发信引擎利用搜索到的邮件地址发送病毒邮件;
以下是邮件特征:
发件人:<从收集的邮件地址中选择>
主题:(从以下选择任意字符串)
Hello!
Hi!
Re:Important
Important
Re:Mydetails
Mydetails
Re:Yourinformation
Yourinformation
Re:Yourdetails
Yourdetails
Re:Yourdocument
Yourdocument
Re:Request
Request
Re:Thanksyou!
Thankyou!
Re:Approved
Approved
Re:Hello
Re:Hi
Hello
Approvedfile
List
Correcteddocument
Archive
Abuselist
Presentationdocument
Instructions
Details
Improveddocument
Note
Message
Contactlist
Numberlist
File
Secounddocument
Improvedfile
Userlist
Textfile
Newdocument
Text
Information
Info
Worddocument
Exceldocument
Powerpointdocument
Detaileddocument
Homepage
Letter
Document
Olddocument
Approveddocument
Moviedocument
Picturedocument
Summary
Description
Requesteddocument
Notice
Bill
Answer
Release
Finalversion
Diggest
Importantdocument
Order
Photodocument
Personalmessage
Phonenumber
Icqnumber
Report
Story
Concept
Developement
Sample
Postcard
Account
附件名:
<随机名>[随机数字].pif
<随机名>可能为以下字符串之一
approved_file
list
corrected_document
archive
abuse_list
presentation_document
instructions
details
improved_document
note
message
contact_list
number_list
file
secound_document
improved_file
user_list
textfile
new_document
text
information
info
word_document
excel_document
powerpoint_document
detailed_document
homepage
letter
document
old_document
approved_document
movie_document
picture_document
summary
description
requested_document
notice
bill
answer
release
final_version
diggest
important_document
order
photo_document
personal_message
phone_number
icq_number
report
story
concept
developement
sample
postcard
account
内容:
第一部份可能为以下字符串之一
Hi!
Hello!
第二部份可能为以下字符串之一
NotethatIhaveattachedyourdocument.
My<附件的文件名>.
The<附件的文件名>.
Ihavespentmuchtimeforthe<附件的文件名>.
Ihavespentmuchtimeforyourdocument.
Your<附件的文件名>.
Pleasenoticetheattached<附件的文件名>.
Pleasenoticetheattacheddocument.
Pleasereadquickly.
Formoredetailsseetheattacheddocument.
Formoreinformationseetheattacheddocument.
Approved,hereisthedocument.
Ihavefoundthe<附件的文件名>.
My<附件的文件名>isattached.
Your<附件的文件名>isattached.
Please,<附件的文件名>.
Yourfileisattachedtothismail.
Pleasereadtheattacheddocument.
Pleasehavealookattheattacheddocument.
Seethedocumentfordetails.
Hereisthedocument.
Therequested<附件的文件名>isattached!
Ihavesentthe<附件的文件名>.
Pleaseseethe<附件的文件名>.
The<附件的文件名>isattached.
Hereisthe<附件的文件名>.
Pleasehavealookatthe<附件的文件名>.
Pleasereadthe<附件的文件名>.
第三部份可能为以下字符串之一
Yourssincerely
Thankyou
Thanks
发作现象:
非凡说明:
