Win32.NetSky.r

病毒名称(中文):

网络天空

病毒别名:

Win32.Netsky.Q[Kill],W32/Netsky.q@MM[McAfee]

威胁级别:

★★★☆☆

病毒类型:

其它

病毒长度:

23040

影响系统:

Win9xWinMeWinNTWin2000WinXP

病毒行为:

这个病毒利用电子邮件和共享目录传播,传播的速度极快

该病毒利用自带的SMTP邮件引擎发送邮件

编写工具:VC++6.0

传染条件:通过邮件传播

发作条件:无

系统修改:

将自己拷贝到%SystemRoot%SysMonXP.exe

病毒会把代码解密，然后写到:%SystemRoot%userconfig9x.dll

病毒首先执行DLL文件的第一个功能,然后DLL文件就会继续执行

该病毒还会建立许多其他文件来传播自己:

%SystemRoot%ase64.tmp

%SystemRoot%zippedbase64.tmp

%SystemRoot%IPO0.TXT

%SystemRoot%IPO1.TXT

%SystemRoot%IPO2.TXT

%SystemRoot%IPO3.TXT

在注册表主键:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun

新建键值:

"SysMonXP"="%SystemRoot%SysMonXP.exe"

发作现象:

当Windows运行系统目录以外的命令时,病毒会执行下列命令:

notepadtemp.eml

系统将提示错误信息,"temp.eml"文件不存在

非凡说明:

该病毒通过搜索邮件地址的方式来得到发件人地址和收件人地址,或者发件人地址使用jena@yahoo.cz

假如日期在2004年4月8日到11日,病毒对下列地址进行攻击:

www.cracks.st

www.cracks.am

www.emule-project.net

www.kazaa.com

www.edonkey2000.com

• ·Worm.SpyBot.bg
• ·Win32.Worm.Flood.wimmtr
• ·Worm.P2P.Nooler.b
• ·Win32.Troj.Killav.de
• ·Win32.Troj.Mir2SZWW.ig
• ·Win32.Troj.PswLMir
• ·Win32.Troj.PswLmir
• ·Win32.Troj.Spolash
• ·Worm.Korgo.p
• ·Worm.Padobot.p