西安面包车拉货处罚:这是什么病毒？

病毒名：Win32.Netsky.D

别名：I-Worm.NetSky.d (Kaspersky),

W32/Netsky.d@MM (McAfee),

WORM_NETSKY.D (Trend)

种类：Win32

类型：蠕虫

传播性：高

破坏性：低

普及度：高

特征：

Win32.Netsky.D是一种通过邮件和对等网的共享传播的蠕虫病毒。病毒是大小为17，424字节的可执行文件，

感染方式：

当病毒运行时它建立一个叫"[SkyNet.cz]SystemsMutex",的互斥体，来确保同时只有一个Netsky.D在运行。

病毒拷贝自己到：

%Windows%WINLOGON.EXE

病毒修改注册表来使自己能在WINDOWS启动时自动启动：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunICQ Net = "%Windows%winlogon.exe -stealth"

注释：’%system’是一个可变的目录。蠕虫根据被感染机器的操作系统决定当前的系统文件夹。默认情况下， WIN2000和NT的安装位置是C:WINNTSYSTEM32 ;95,98和ME的是c:windowssystem;xp的是c:windowssystm32.

传播方式：

Netsky.D在以下扩展名的文件中查找邮件地址：

eml txt php pl htm html vbs rtf uin asp dhtm

wab doc adb tbb dbx sht oft msg shtm cgi

它避免使用以下字符串：

icrosoft

antivi

ymantec

spam

avp

f-secur

itdefender

orman

cafee

aspersky

f-pro

orton

fbi

abuse

病毒查找驱动器C到Z，但不会搜索光驱。

病毒利用自己的SMTP引擎发送邮件。邮件主题从下边这些里边选择：

Re: Document

Re: Re: Document

Re: Re: Thanks!

Re: Thanks!

Re: Your document

Re: Here is the document

Re: Your picture

Re: Re: Message

Re: Hi

Re: Hello

Re: Re: Re: Your document

Re: Here

Re: Your music

Re: Your software

Re: Approved

Re: Details

Re: Excel file

Re: Word file

Re: My details

Re: Your details

Re: Your bill

Re: Your text

Re: Your archive

Re: Your letter

Re: Your product

Re: Your website

邮件内容从这个列表里选择：

Your document is attached.

Here is the file.

See the attached file for details.

Please have a look at the attached file...

Please read the attached file.

Your file is attached.

可能的附件名：

your_document.pif

your_document.pif

document.pif

message_part2.pif

your_document.pif

document_full.pif

your_picture.pif

message_details.pif

your_file.pif

your_picture.pif

document_4351.pif

yours.pif

mp3music.pif

application.pif

all_document.pif

my_details.pif

document_excel.pif

document_word.pif

my_details.pif

your_details.pif

your_bill.pif

your_text.pif

your_archive.pif

your_letter.pif

your_product.pif

your_website.pif

病毒建立8线程来进行邮件的发送，这样能提高病毒的传播速度。

蠕虫用会尝试使用本地的DNS服务器来决定目标地址的邮件服务器地址。如果病毒没能使用DNS服务器，那么它会在自己带的一个列表里查找。

危害：

病毒删除以下注册表键值，这些键值都是和别的病毒有关的：

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunTaskmon

HKCUSOFTWAREMicrosoftWindowsCurrentVersionRunTaskmon

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunExplorer

HKCUSOFTWAREMicrosoftWindowsCurrentVersionRunExplorer

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunKasperskyAv

HKCUSOFTWAREMicrosoftWindowsCurrentVersionRunKasperskyAv

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunsystem.

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunmsgsvr32

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunDELETE ME

HKCUSOFTWAREMicrosoftWindowsCurrentVersionRund3dupdate.exe

HKCUSOFTWAREMicrosoftWindowsCurrentVersionRunau.exe

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunservice

HKCUSOFTWAREMicrosoftWindowsCurrentVersionRunOLE

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunSentry

HKCUSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Services Host

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Services Host

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunServicessystem.

病毒删除带以下字段的注册表键值：

HKCRCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32

HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerPINF

HLKMSystemCurrentControlSetServicesWksPatch

发出噪音：

如果系统日期是2004年3月2日，时间是6，7，8点，病毒能让机器发出嘟嘟声，间隔在0。5秒左右。

检测/清除

金山毒霸2006最新完美版既可以杀毒也可以杀木马，更可以防病毒.
http://www.63263.com/down/kingdb2006.html