病毒名称(中文):
网络天空变种f
病毒别名:
Win32.Netsky.F[ComputerAssociates],NetSky.F[F-
威胁级别:
★★★☆☆
病毒类型:
蠕虫病毒
病毒长度:
18
影响系统:
Win9xWin2000WinXP
病毒行为:
“网络天空”系例
编写工具:
汇编,PE-Pack压缩
传染条件:
利用邮件高速传播
发作条件:
系统修改:
A、自我复制到%System%svchost.exe
B、创建以下文件:
%system%winsys.exeopen
该文件是一个加过密的ZIP文件包,密码随机生成,内容是病毒代码;
C、添加以下键值
"ZoneLabsClientEx"="%windir%svchost.exe-antivirusservice"
到
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
以便病毒可随机自启动;
删除以下键值:
Explorer
KasperskyAV
system.
d3dupdate.exe
au.exe
OLE
WindowsServiceHost
gouday.exe
rate.exe
sysmon.exe
D、删除以下注册表键值:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerPINF
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesWksPatch
E、查找后缀名为以下后缀的文件,并从中提取电子邮件地址:
.dhtm
.cgi
.shtm
.msg
.oft
.sht
.dbx
.tbb
.adb
.doc
.wab
.asp
.uin
.rtf
.vbs
.html
.htm
.pl
.php
.txt
.eml
F、病毒使用自己发信引擎发信,其邮件特征为:
主题:(可能是以下字符串中的任意):
Re:Yourwebsite
Re:Yourproduct
Re:Yourletter
Re:Yourarchive
Re:Yourtext
Re:Yourbill
Re:Yourdetails
Re:Mydetails
Re:Wordfile
Re:Excelfile
Re:Details
Re:Approved
Re:Yoursoftware
Re:Yourmusic
Re:Here
Re:Re:Re:Yourdocument
Re:Hello
Re:Hi
Re:Re:Message
Re:Yourpicture
Re:Hereisthedocument
Re:Yourdocument
Re:Thanks!
Re:Re:Thanks!
Re:Re:Document
Re:Document
内容:(可能是以下字符串中的任意组合):
Yourfileisattached.
Pleasereadtheattachedfile.
Pleasehavealookattheattachedfile.
Seetheattachedfilefordetails.
Hereisthefile.
Yourdocumentisattached.
附件名:<可能是以下字符串中的任意>.zip:
your_website.pif
your_product.pif
your_letter.pif
your_archive.pif
your_text.pif
your_bill.pif
your_details.pif
document_word.pif
document_excel.pif
my_details.pif
all_document.pif
application.pif
mp3music.pif
yours.pif
document_4351.pif
your_file.pif
message_details.pif
your_picture.pif
document_full.pif
message_part2.pif
document.pif
your_document.pif
病毒会避免发送病毒邮件到含有以下字符串的邮件地址
iruslis
antivir
sophos
freeav
andasoftwa
skynet
messagelabs
abuse
fbi
orton
f-pro
aspersky
cafee
orman
itdefender
f-secur
avp
spam
ymantec
antivi
icrosoft
G、假如系统时间是在2004年3月2日上午6点至9点,则系统扬声器将会循环地发出声音,每次循环的时间随机。
发作现象:
非凡说明: