病毒名称(中文):
网络天空变种M
病毒别名:
W32.Netsky.M@mm[Symantec]I-Worm.Netsky.m[Kasp
威胁级别:
★★☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
16
影响系统:
Win9xWinNTWin2000WinXPWin2003
病毒行为:
“网络天空”家簇病毒
编写工具:
VC编写,UPX压缩
传染条件:
该病毒通过使用自身的SMTP引擎通过邮件进行高速传播
发作条件:
系统修改:
A、建立互斥体“Rabbo_Mutex”,使蠕虫在系统中只运行一次;
B、自我复制到:%WinDir%AVprotect9x.exe
C、添加以下键值
"9xHtProtect"="%Windir%AVprotect9x.exe"
到
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
使病毒可随机自启动;
D、搜索从C到Z盘中的以下文件,并从中收集邮件地址:
.adb.asp.cgi.dbx.dhtm.doc.eml.htm.html.jsp.msg.oft.php.pl.rtf.sht.shtm.tbb.txt.uin.vbs.wab.wsh.xml
E、使用自带的发信引擎发送病毒邮件,其邮件特征为:
发件人:<从收信的地址中选取或是自动随机成生>
可能的主题:
Re:<%s>Requestedfile
Re:<%s>Myfile
Re:<%s>Mydocument
Re:<%s>Myinformation
Re:<%s>Mydetails
Re:<%s>Information
Re:<%s>Improved
Re:<%s>Requesteddocument
Re:<%s>Document
Re:<%s>Details
Re:<%s>Yourdocument
Re:<%s>Yourdetails
Re:<%s>Approved
可能的内容:
Detailsfor%s.
Document%s.
Ihavereceivedyourdocument.Theimproveddocument%sisattached.
Ihaveattachedyourdocument%s.
Yourdocument%sisattachedtothismail.
Authentificationfor%srequired.
Requestedfile%s.
Seethefile%s.
Pleasereadtheimportantmessagemsg_%s.
Pleaseconfirmthedocument%s.
%sisattached.
Yourfile%sisattached.
Pleasereadthedocument%s.
Yourdocument%sisattached.
Pleasereadtheattachedfile%s.
Pleaseseetheattachedfile%sfordetails..
可能的附件名称:
improved_%s.pif
message_%s.pif
detailed_%s.pif
your_document_%s.pif
word_doc_%s.pif
doc_%s.pif
articel_%s.pif
picture_%s.pif
file_%s.pif
your_file_%s.pif
details_%s.pif
document_%s.pif
%s.pif
注:%s为收件人地址的域名信息,及@后面的地址。
发作现象:
非凡说明:
