蠕虫病毒 Win32.Netsky.F 普及度:高 04年03月03
病毒名:Win32.Netsky.F
别名:I-Worm.NetSky.f (Kaspersky),
W32/Netsky.F@mm (F-Secure),
W32/Netsky.f@MM (McAfee),
W32/Netsky.gen@MM (McAfee),
WORM_NETSKY.F (Trend)
种类:Win32
类型:蠕虫
传播性:低
破坏性:低
普及度:高
特征:
Win32.Netsky.D是一种通过邮件和对等网的共享传播的蠕虫病毒。病毒是大小为17,424字节的可执行文件,
感染方式:
当病毒运行时它建立一个叫"[SkyNet.cz]SystemsMutex",的互斥体,来确保同时只有一个Netsky.D在运行。
病毒拷贝自己到:
%Windows%\\WINLOGON.EXE
病毒修改注册表来使自己能在WINDOWS启动时自动启动:
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\ICQ Net = "%Windows%\\winlogon.exe -stealth"
注释:’%system’是一个可变的目录。蠕虫根据被感染机器的操作系统决定当前的系统文件夹。默认情况下, WIN2000和NT的安装位置是C:\\WINNT\\SYSTEM32 ;95,98和ME的是c:\\windows\\system;xp的是c:\\windows\\systm32.
传播方式:
Netsky.F在以下扩展名的文件中查找邮件地址:
adb
asp
......
vbs
wab
它避免使用以下字符串:
icrosoft
......
fbi
abuse
病毒查找驱动器C到Z,但不会搜索光驱。
病毒利用自己的SMTP引擎发送邮件。邮件的发件人地址和收件人地址都使用搜索到的邮件地址。
邮件主题从下边这些里边选择:
Re: Document
Re: Re: Document
......
Re: Your website
邮件内容从这个列表里选择:
Your document is attached.
......
Your file is attached.
可能的附件名:
your_document.pif
......
your_website.pif
以下是一个由病毒产生的邮件的例子:
病毒建立16线程来进行邮件的发送,这样能提高病毒的传播速度。
蠕虫用会尝试使用本地的DNS服务器来决定目标地址的邮件服务器地址。如果病毒没能使用DNS服务器,那么它会在自己带的一个列表里查找。
危害:
病毒删除以下注册表键值,这些键值都是和别的病毒有关的:
HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\Taskmon
......
HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\Windows Services Host
HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices\\system.
病毒删除带以下字段的注册表键值:
HKCR\\CLSID\\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\\InProcServer32
HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\PINF
HLKM\\System\\CurrentControlSet\\Services\\WksPatch
发出噪音:
如果系统日期是2004年3月2日,时间是6,7,8点,病毒能让机器发出嘟嘟声,间隔在0。5秒左右。
