| 国家计算机病毒应急处理中心通过对互联网的监测,于2004年3月1日发现异常的病毒的邮件,经分析证实该病毒为“网络天空”病毒又一个变种,同时,该变种的一些特征与worm_netsky.c相同,如windows文件夹下生成的病毒文件名称,修改注册表键值已达到自启动的目的,以及删除的部分注册表键值。我们将该病毒命名为worm_netsky.d。该病毒已经在美国、日本、法国等传播。并且已经在我国出现。 该变种并没有什么新的技术和功能,只是在病毒邮件的主题、内容和附件上发生了变化,并且病毒附件需要点击运行病毒才能发作。所以对于用户来讲最重要的还是要立即升级杀毒软件,启动“实时监控”和“邮件监控”功能,同时在接收电子邮件时提高警惕,不要轻易打开邮件的附件。 该病毒通过邮件传播的蠕虫病毒,病毒邮件的发信人、主题、内容和附件都是不固定的,附件为一个.pif文件。当病毒运行时,会生成病毒文件、修改和删除注册表项。 病毒名称: worm_netsky.d(“网络天空”病毒变种) 其它英文命名:w32/netsky.d@mm (mcafee) w32/netsky.d.worm (panda) worm_netsky.d (trend micro) i-worm.netsky.d (kaspersky) win32.netsky.d (computer associates) w32/netsky-d (sophos) “网络天空变种d”(worm.netsky.d) (金山) 感染系统:win9x/winme/winnt/win2000/winxp/win2003 病毒长度:17,424字节 病毒特征: 病毒使用upx压缩,通过电子邮件进行传播。运行后,在windows目录下生成自身的拷贝,修改注册表键值。病毒的拷贝有两个扩展名,使用word的图标,并在共享文件夹中生成自身拷贝。 1、生成病毒文件 病毒运行后,在%windows%目录下生成自身的拷贝,名称为winlogon.exe。 (其中,%windows% 是windows的默认文件夹,通常是 c:或 c:) 2、修改注册表项 病毒创建注册表项,使得自身能够在系统启动时自动运行,在 hkey_local_machine下创建 icq net = "%windows%.exe -stealth" 3、删除注册表中的键值 为了达到影响系统运行的目的,会试图删除多个重要的注册表键值。 病毒在 hkey_local_machine和 hkey_current_user下寻找并删除下列键值: explorer kasperskyav taskmon windows services host 在hkey_local_machine下删除下列键值: system. msgsvr32 delete me service sentry 在hkey_current_user下删除下列键值: d3dupdate.exe au.exe ole 在hkey_local_machine下删除下列键值: system. 3、通过电子邮件进行传播 病毒在被感染用户的系统内搜索以下扩展名的文件,找到电子邮件地址,并使用的自带的smtp向这些地址发送带毒的电子邮件。 .dhtm .cgi .shtm .msg .oft .sht .dbx .tbb .adb .doc .wab .asp .uin .rtf .vbs .html .htm .pl .php .txt .eml 病毒发送的带毒电子邮件格式如下: 发件人:(可能不是真实的邮件地址,具有欺骗性的地址) 主题:(为下列之一) re: your website re: your product re: your letter re: your archive re: your text re: your bill re: your details re: my details re: word file re: excel file re: details re: approved re: your software re: your music re: here re: re: re: your document re: hello re: hi re: re: message re: your picture re: here is the document re: your document re: thanks! re: re: thanks! re: re: document re: document 内容:(为下列之一) your file is attached. please read the attached file. please have a look at the attached file. see the attached file for details. here is the file. your document is attached 附件:(扩展名为.pif的文件,名称为下列之一) your_website.pif your_product.pif your_letter.pif your_archive.pif your_text.pif your_bill.pif your_details.pif document_word.pif document_excel.pif my_details.pif all_document.pif application.pif mp3music.pif yours.pif document_4351.pif your_file.pif message_details.pif your_picture.pif document_full.pif message_part2.pif document.pif your_document.pif 4、其它(在共享文件夹下生成病毒文件) 病毒还会尝试连接如下的外部dns: 145.253.2.171 151.189.13.35 193.141.40.42 193.189.244.205 193.193.144.12 193.193.158.10 194.25.2.129 194.25.2.129 194.25.2.130 194.25.2.131 194.25.2.132 194.25.2.133 194.25.2.134 195.185.185.195 195.20.224.234 212.185.252.136 212.185.252.73 212.185.253.70 212.44.160.8 212.7.128.162 212.7.128.165 213.191.74.19 217.5.97.137 62.155.255.16 手工清除该病毒的相关操作: 1、终止病毒进程 在windows 9x/me系统,同时按下ctrl+alt+delete,在windows nt/2000/xp系统中,同时按下ctrl+shift+esc,选择“任务管理器--〉进程”,选中正在运行的进程“winlogon.exe”,并终止其运行。 2、注册表的恢复 点击“开始--〉运行”,输入regedit,运行注册表编辑器,依次双击左侧的hkey_local_machine>software>microsoft>windows>currentversion>run ,并删除面板右侧的icq net = "%windows%.exe -stealth" 3、删除病毒释放的文件 点击“开始--〉查找--〉文件和文件夹”,查找文件“winlogon.exe”,并将找到的文件删除。
4、运行杀毒软件,对系统进行全面的病毒查杀
| 
鲁公网安备 37120302000001号
