Worm.NetSky.r

病毒名称(中文):

网络天空变种R

病毒别名:

I-Worm.NetSky.r[AVP]

威胁级别:

★★☆☆☆

病毒类型:

蠕虫病毒

病毒长度:

29568

影响系统:

Win9xWinNTWin2000WinXPWin2003

病毒行为:

编写工具:

传染条件:

发作条件:

系统修改:

1.复制病毒自身到%SystemRoot%SysMonXP.exe

2.生成文件%SystemRoot%Firewallogger.txt

3.建立一个互斥体"_-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_",保证只有一个病毒的实例在运行

4.释放临时文件:

%SystemRoot%zipo0.txt

%SystemRoot%zipo1.txt

%SystemRoot%zipo2.txt

%SystemRoot%zipo3.txt

%SystemRoot%ase64.tmp

%SystemRoot%zippedbase64.tmp

5.在注册表中添加启动项

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

"SysMonXP"="%SystemRoot%SysMonXP.exe"

6.从注册表中删除其他蠕虫病毒的启动项:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices

Explorer

system.

msgsvr32

au.exe

winupd.exe

direct.exe

jijbl

Video

service

DELETEME

d3dupdate.exe

OLE

Sentry

gouday.exe

rate.exe

Taskmon

WindowsServicesHost

sysmon.exe

srate.exe

ssate.exe

MicrosoftIEExecuteshell

Winsock2driver

ICMversion

yeahdude.exe

MicrosoftSystemCheckup

7.从注册表中删除如下子键:

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExplorerPINF

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWksPatchHKEY_CLASSES_ROOTCLSIDCLSID

{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32

发作现象:

1.该病毒会检测系统日期和时间,当时间是2004年3月30日上午5:11的时候,它会驱动扬声器发出声响

非凡说明:

1.假如系统时间在2004年4月8日到4月11日之间,该病毒会尝试向如下网站发起拒绝服务攻击:

www.edonkey2000.com

www.kazaa.com

www.emule-project.net

www.cracks.am

www.cracks.st

2.建立80个线程,每个线程从上面的网站中随机选择一个作为DOS攻击的对象