西安面包车拉货处罚:这是什么病毒?
来源:百度文库 编辑:高考问答 时间:2024/05/14 06:36:44
可我根本没发任何邮件出去。卡巴最新的病毒库检测不出来,谁遇到过类似情况,如何解决?谢谢!
病毒名:Win32.Netsky.D
别名:I-Worm.NetSky.d (Kaspersky),
W32/Netsky.d@MM (McAfee),
WORM_NETSKY.D (Trend)
种类:Win32
类型:蠕虫
传播性:高
破坏性:低
普及度:高
特征:
Win32.Netsky.D是一种通过邮件和对等网的共享传播的蠕虫病毒。病毒是大小为17,424字节的可执行文件,
感染方式:
当病毒运行时它建立一个叫"[SkyNet.cz]SystemsMutex",的互斥体,来确保同时只有一个Netsky.D在运行。
病毒拷贝自己到:
%Windows%WINLOGON.EXE
病毒修改注册表来使自己能在WINDOWS启动时自动启动:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunICQ Net = "%Windows%winlogon.exe -stealth"
注释:’%system’是一个可变的目录。蠕虫根据被感染机器的操作系统决定当前的系统文件夹。默认情况下, WIN2000和NT的安装位置是C:WINNTSYSTEM32 ;95,98和ME的是c:windowssystem;xp的是c:windowssystm32.
传播方式:
Netsky.D在以下扩展名的文件中查找邮件地址:
eml txt php pl htm html vbs rtf uin asp dhtm
wab doc adb tbb dbx sht oft msg shtm cgi
它避免使用以下字符串:
icrosoft
antivi
ymantec
spam
avp
f-secur
itdefender
orman
cafee
aspersky
f-pro
orton
fbi
abuse
病毒查找驱动器C到Z,但不会搜索光驱。
病毒利用自己的SMTP引擎发送邮件。邮件主题从下边这些里边选择:
Re: Document
Re: Re: Document
Re: Re: Thanks!
Re: Thanks!
Re: Your document
Re: Here is the document
Re: Your picture
Re: Re: Message
Re: Hi
Re: Hello
Re: Re: Re: Your document
Re: Here
Re: Your music
Re: Your software
Re: Approved
Re: Details
Re: Excel file
Re: Word file
Re: My details
Re: Your details
Re: Your bill
Re: Your text
Re: Your archive
Re: Your letter
Re: Your product
Re: Your website
邮件内容从这个列表里选择:
Your document is attached.
Here is the file.
See the attached file for details.
Please have a look at the attached file...
Please read the attached file.
Your file is attached.
可能的附件名:
your_document.pif
your_document.pif
document.pif
message_part2.pif
your_document.pif
document_full.pif
your_picture.pif
message_details.pif
your_file.pif
your_picture.pif
document_4351.pif
yours.pif
mp3music.pif
application.pif
all_document.pif
my_details.pif
document_excel.pif
document_word.pif
my_details.pif
your_details.pif
your_bill.pif
your_text.pif
your_archive.pif
your_letter.pif
your_product.pif
your_website.pif
病毒建立8线程来进行邮件的发送,这样能提高病毒的传播速度。
蠕虫用会尝试使用本地的DNS服务器来决定目标地址的邮件服务器地址。如果病毒没能使用DNS服务器,那么它会在自己带的一个列表里查找。
危害:
病毒删除以下注册表键值,这些键值都是和别的病毒有关的:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunTaskmon
HKCUSOFTWAREMicrosoftWindowsCurrentVersionRunTaskmon
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunExplorer
HKCUSOFTWAREMicrosoftWindowsCurrentVersionRunExplorer
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunKasperskyAv
HKCUSOFTWAREMicrosoftWindowsCurrentVersionRunKasperskyAv
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunsystem.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunmsgsvr32
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunDELETE ME
HKCUSOFTWAREMicrosoftWindowsCurrentVersionRund3dupdate.exe
HKCUSOFTWAREMicrosoftWindowsCurrentVersionRunau.exe
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunservice
HKCUSOFTWAREMicrosoftWindowsCurrentVersionRunOLE
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunSentry
HKCUSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Services Host
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Services Host
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunServicessystem.
病毒删除带以下字段的注册表键值:
HKCRCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerPINF
HLKMSystemCurrentControlSetServicesWksPatch
发出噪音:
如果系统日期是2004年3月2日,时间是6,7,8点,病毒能让机器发出嘟嘟声,间隔在0。5秒左右。
检测/清除
金山毒霸2006最新完美版既可以杀毒也可以杀木马,更可以防病毒.
http://www.63263.com/down/kingdb2006.html