病毒名称(中文):
恶鹰av
病毒别名:
威胁级别:
★★★☆☆
病毒类型:
蠕虫病毒
病毒长度:
17053
影响系统:
Win9xWinNT
病毒行为:
该病毒通过邮件进行传播,用户运行邮件附件后,会尝试关闭计算机内的反病毒软件,并从网上下载一个后门。该蠕虫,还会在受感染的机器的文件中搜索电子邮件,并向搜索到的地址发送邮件。诱惑用户打开运行病毒程序。该病毒会向外发送大量的带毒邮件,严重的堵塞用户网络。并且该病毒会感染可执行文件,建议用户开启防火墙来乐垢貌《镜那秩搿?
1.创建以下几个互斥量来防止NetSky病毒运行:
MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
"D"r"o"p"p"e"d"S"k"y"N"e"t"
_-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
[SkyNet.cz]SystemsMutex
AdmSkynetJklS003
____--->>>>U<<<<--____
_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
2.在被感染的机器上创建以下文件:
%System%\sysinit.exe
%System%\sysinit.exeopen
%System%\sysinit.exeopenopen
3.在注册表HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中
增加"Syskey"="%System%\sysinit.exe"
来确保自身能随计算机启动
4.从HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除包含以下字符串的键值:
MyAV
ZoneLabsClientEx
9XHtProtect
Antivirus
SpecialFirewallService
service
TinyAV
ICQNet
HtProtect
NetDy
Jammer2nd
FirewallSvr
MsInfo
SysMonXP
EasyAV
PandaAVEngine
NortonAntivirusAV
KasperskyAVEng
SkynetsRevenge
ICQNet
5.尝试结束以下进程:
ATUPDATER.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVPUPD.EXE
AVWUPD32.EXE
AVXQUAR.EXE
AVXQUAR.EXE
CFIAUDIT.EXE
DRWEBUPW.EXE
ESCANH95.EXE
ESCANHNT.EXE
FIREWALL.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
LUALL.EXE
MCUPDATE.EXE
NUPGRADE.EXE
OUTPOST.EXE
sys_xp.exe
sysxp.exe
UPDATE.EXE
winxp.exe
kavsvc.exe
6.在包含"shar"字符串的目录下创建文件,文件名可能为下列字符:
MicrosoftOffice2003Crack,Working!.exe
MicrosoftWindowsXP,WinXPCrack,workingKeygen.exe
MicrosoftOfficeXPworkingCrack,Keygen.exe
Porno,sex,oral,analcool,awesome!!.exe
PornoScreensaver.scr
Serials.txt.exe
KAV5.0
KasperskyAntivirus5.0
Pornopicsarhive,xxx.exe
WindowsSourcecodeupdate.doc.exe
AheadNero7.exe
WindownLonghornBetaLeak.exe
Opera8New!.exe
XXXhardcoreimages.exe
WinAmp6New!.exe
WinAmp5ProKeygenCrackUpdate.exe
AdobePhotoshop9full.exe
Matrix3RevolutionEnglishSubtitles.exe
ACDSee9.exe
7.搜索以下列字符串为扩展名的文件来获得Email地址,并用自带的SMTP引擎发送带毒邮件
.wab
.txt
.msg
.htm
.shtm
.stm
.xml
.dbx
.mbx
.mdx
.eml
.nch
.mmf
.ods
.cfg
.asp
.php
.pl
.wsh
.adb
.tbb
.sht
.xls
.oft
.uin
.cgi
.mht
.dhtm
.jsp
8.病毒发送的带毒邮件具有如下特征:
发件人:伪造的
主题:
Re:Msgreply
Re:Hello
Re:Yahoo!
Re:Thankyou!
Re:Thanks:)
RE:Textmessage
Re:Document
Incomingmessage
Re:IncomingMessage
RE:IncomingMsg
RE:MessageNotify
Notification
Changes..
Update
FaxMessage
Protectedmessage
RE:Protectedmessage
Forumnotify
Sitechanges
Re:Hi
正文:
Readtheattach.
Yourfileisattached.
Moreinfoisinattach
Seeattach.
Please,havealookattheattachedfile.
Yourdocumentisattached.
Please,readthedocument.
Attachtellseverything.
Attachedfiletellseverything.
Checkattachedfilefordetails.
Checkattachedfile.
Payattentionattheattach.
Seetheattachedfilefordetails.
Messageisinattach
Hereisthefile.
假如附件有密码,则会显示在正文中显示密码
附件:
文件名可能为:
Information
Details
text_document
Updates
Readme
Document
Info
Details
MoreInfo
Message
扩展名可能为:
.exe
.scr
.com
.zip
.vbs
.hta
.cpl
9.该病毒不会向包含以下字符串的邮件地址发送邮件
@hotmail
@msn
@microsoft
rating@
f-secur
news
update
anyone@
bugs@
contract@
feste
gold-certs@
help@
info@
nobody@
noone@
kasp
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
sopho
@foo
@iana
free-av
@messagelab
winzip
winrar
samples
abuse
panda
cafee
spam
pgp
@avp.
noreply
local
root@
postmaster@
10.尝试从下列网站下载文件
http://s**h.cc/
11.开启TCP2002端口做为后门
12、尝试感染可执行文件
13、2005年1月25日病毒自动停止运行