“Worm.NetSky.B”恶性蠕虫分析报告

“Worm.NetSky.B”恶性蠕虫分析报告

2004-02-19 14:32 来源：eNet论坛 [收藏到E起摘]

联想S9全国最低价	精彩瞬间三星i7
索尼C21CH火爆热销	苹果沙佛2疯狂促销

　　【eNews消息】病毒信息

　　病毒名称: Worm.NetSky.B

　　中文名称:

　　威胁级别: 4A

　　发现日期: 2004.02.19

　　处理日期: 2004.02.19

　　病毒别名: W32/Netsky.b@MM [McAfee]

　　W32/Netsky.B.worm [Panda]

　　WORM_NETSKY.B [Trend Micro]

　　Moodown.B [F-Secure]

　　I-Worm.Moodown.b [Kaspersky]

　　病毒类型: 蠕虫

　　受影响系统: Win9x/WinMe/WinNT/Win2000/WinXP/Win2003

　　能处理的毒霸版本: 2004年02月19日

　　系统修改:

　　A、自我复制到Windows安装目录%Windir%\services.exe

　　B、在注册表主键：

　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　中添加如下键值:

　　 "service" = "%Windir%\services.exe -serv"

　　在注册表主键：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

　　中删除如下键值：

　　 "Taskmon"

　　 "Explorer"

　　在注册表主键：

　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　中删除如下键值：

　　 "KasperskyAV"

　　"System."

　　删除以下注册表键值：

　　HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32

　　C、在C盘到Z中搜索名字中含有"Share"或"Sharing"字符串的文件夹。如果找到的文件夹不是CD-ROM，则该病毒将它自己拷贝到该文件夹及其所有的字文件夹中，名字可能是以下所列名字列表中的一个：

　　doom2.doc.pif

　　sex sex sex sex.doc.exe

　　rfc compilation.doc.exe

　　dictionary.doc.exe

　　win longhorn.doc.exe

　　e.book.doc.exe

　　programming basics.doc.exe

　　how to hack.doc.exe

　　max payne 2.crack.exe

　　e-book.archive.doc.exe

　　virii.scr

　　nero.7.exe

　　eminem - lick my pussy.mp3.pif

　　cool screensaver.scr

　　serial.txt.exe

　　office_crack.exe

　　hardcore porn.jpg.exe

　　angels.pif

　　porno.scr

　　matrix.scr

　　photoshop 9 crack.exe

　　strippoker.exe

　　dolly_buster.jpg.pif

　　winxp_crack.exe

　　D、在Windows目录%SystemRoot%下创建一个名为40 .zip的文件，该压缩文件内为该病毒的众多拷贝。这些拷贝的文件名为以下字符串列表中的一些：

　　document

　　msg

　　doc

　　talk

　　message

　　creditcard

　　details

　　attachment

　　me

　　stuff

　　posting

　　textfile

　　concert

　　information

　　note

　　bill

　　swimmingpool

　　product

　　topseller

　　ps

　　shower

　　aboutyou

　　nomoney

　　found

　　story

　　mails

　　website

　　friend

　　jokes

　　location

　　final

　　release

　　dinner

　　ranking

　　object

　　mail2

　　part2

　　disco

　　party

　　misc

　　发作现象:

　　会弹出一个对话框，对话框上显示以下内容:

　　The file could not be opened!

　　病毒邮件:

　　A、会在以以下后缀结尾的文件中查找Email地址：

　　.msg

　　.oft

　　.sht

　　.dbx

　　.tbb

　　.adb

　　.doc

　　.wab

　　.asp

　　.uin

　　.rtf

　　.vbs

　　.html

　　.htm

　　.pl

　　.php

　　.txt

　　.eml

　　B、使用其自带的SMTP引擎将其自己作为附件发送到以上找到的Email地址中，邮件具有以下特征：

　　发件人：<具有欺骗性的地址>

　　主题：(以下字符串之一)

　　hi

　　hello

　　read it immediately

　　something for you

　　warning

　　information

　　stolen

　　fake

　　unknown

　　正文：(以下字符串之一)

　　anything ok?

　　what does it mean?

　　ok

　　i'm waiting

　　read the details.

　　here is the document. read it immediately!

　　my hero

　　here

　　is that true?

　　is that your name?

　　is that your account?

　　i wait for a reply!

　　is that from you?

　　you are a bad writer

　　I have your password!

　　something about you!

　　kill the writer of this document!

　　i hope it is not true!

　　your name is wrong

　　i found this document about you

　　yes, really?

　　that is bad

　　here it is

　　see you

　　greetings

　　stuff about you?

　　something is going wrong!

　　information about you

　　about me

　　from the chatter

　　here, the serials

　　here, the introduction

　　here, the cheats

　　that's funny

　　do you?

　　reply

　　take it easy

　　why?

　　thats wrong

　　misc

　　you earn money

　　you feel the same

　　you try to steal

　　you are bad

　　something is going wrong

　　something is fool

　　附件名：(以下字符串之一)

　　document

　　msg

　　doc

　　talk

　　message

　　creditcard

　　details

　　attachment

　　me

　　stuff

　　posting

　　textfile

　　concert

　　information

　　note

　　bill

　　swimmingpool

　　product

　　topseller

　　ps

　　shower

　　aboutyou

　　nomoney

　　found

　　story

　　mails

　　website

　　friend

　　jokes

　　location

　　final

　　release

　　dinner

　　ranking

　　object

　　mail2

　　part2

　　disco

　　party

　　misc

　　附件扩展名1：(以下字符串之一)

　　.txt

　　.rtf

　　.doc

　　.htm

　　附件扩展名2：(以下字符串之一)

　　.exe

　　.scr

　　.com

　　.pif

　　下图为收到带毒邮件的截图：

　　

　　解决方案:

　　A、请使用金山毒霸2004年02月19日的病毒库可完全处理该病毒；

　　B、请不要轻易点击陌生人的邮件以及下载和运行其所带附件，在运行可疑附件前最好先用毒霸扫描；

　　C、手工解决方案：

　　对于系统是Win9x/WinMe

　　步骤一，删除病毒主程序

　　请使用干净的系统软盘引导系统到纯DOS模式，然后转到系统安装目录（默认的系统安装目录为C:\windows），分别输入以下命令，以便删除病毒程序：

　　C:\windows\>del services.exe

　　完毕后，取出系统软盘，重新引导到Windows系统。

　　如果手中没有系统软件盘，可以在引导系统时按“F5”键也可进入纯DOS模式。

　　步骤二，清除病毒在注册表里添加的项

　　打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter；

　　在左边的面板中, 双击（按箭头顺序查找，找到后双击）：

　　HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run

　　在右边的面板中, 找到并删除如下项目：

　　"service" = "%Windir%\services.exe -serv"

　　关闭注册表编辑器.

　　对于系统是Windows NT,Windows2000,Windows XP,Windows 2003 sever

　　步骤一，使用进程序管里器结束病毒进程

　　右键单击任务栏，弹出菜单，选择“任务管理器”，调出“Windows任务管理器”窗口。在任务管理器中，单击“进程”标签，在例表栏内找到病毒进程“services.exe”，单击“结束进程按钮”，点击“是”，结束病毒进程，然后关闭“Windows任务管理器”；

　　步骤二，查找并删除病毒程序

　　通过“我的电脑”或“资源管理器”进入系统安装目录（Winnt或windows)，找到文件“services.exe”，将它删除;

　　步骤三，清除病毒在注册表里添加的项

　　打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter；

　　在左边的面板中, 双击（按箭头顺序查找，找到后双击）：

　　HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run

　　在右边的面板中, 找到并删除如下项目：

　　"service" = "%Windir%\services.exe -serv"

　　关闭注册表编辑器。

【责任编辑：程程】

蠕虫　

病毒　

金山　

相
关
文
章

1、国际象棋大师叶江川做客联众下指导棋
2、联众世界与您相约浪漫情人节！

3、购卡即成联众会员得联众币获双重享受

内幕

财经观察

·互联网地下经济揭密：病毒帝国催生全民黑客
·涉嫌利用虚假合同骗取国际长话费五人获刑
·三嫌犯网上贩Q币获利7000元被批捕
·深圳警方破获特大网银盗窃团伙涉案上亿元
·更改号码软件泛滥来电伪装熟人号码诈骗
·“陷阱”网站盗取帐号 10秒内划走银行卡存款
·携程网养虎为患终受苦两高管受贿30万被抓捕
·原计算机一厂厂长挪用受贿近两百万获刑13年

·EBay第四季净利5.31亿美元 08年预期不佳
·次贷风波刺痛网络股大半科技股跌破发行价
·电子信息产业投资增幅明显下滑
·苹果第二财季业绩将远低华尔街预期
·惠特曼退休分析师见仁见智 eBay股价大跌4%
·中邮器材去年利润增长三成上市计划将揭晓
·分析：中国联通股价攀升有理？(二)
·分析：中国联通股价攀升有理？(一)

视觉

头图

·IBM员工发起请愿活动要求公司收回减
·大股东公布小天鹅竞购条件长虹美的
·网上出现“拯救HD-DVD”请愿 1.5万人
·松下相机遭遇质量门 980元LS70集体“
·涉嫌发布侮辱性视频土耳其再次封杀

　深度报道

·甩掉雅虎中国仍是马云	评
·三网融合有误多谈一网	评
·消费者在为政策失误买	评
·国务院文件不对称力挺	评
·中国网民数量“超美”	评
·漫游费听证注定是一场	评
·人人电脑:零售才是康庄	评
·数字电视缺乏公平谈啥	评
·新规下互联网视听行业	评
·IT企业家的傲慢与偏见	评
·IPTV之内容牌照纯属多	评
·日本小灵通抢攻中国4	评
·网络出口带宽瓶颈亟待	评
·再论拆分联通是把双刃	评
·机卡分离带来模转数新	评

　在线调查

　　Vista个人版最终发布，作为普通消费者，您认为：

已经对Vista期待已久，有买的打算

已有的操作系统足够用，短期没有计划使用Vista

个人版Vista价格太昂贵，不排斥买盗版软件

　IT资讯论坛

·首例'敲诈'病毒被截获黑
·马云低头难能可贵要怪
·个人写真被贴色情网站中
·从“赤裸代言”事件看一

【对此感兴趣】【到论坛发表评论】【 E-mail给朋友】【回频道首页】【关闭窗口】

·受益削减成本 3季度NTT DoCoMo利润

资讯中心日排行

李开复称移动搜索
　　李开复透露，Google已成立了一个200多人规模的全球独立研发...

台湾首富郭台铭告
　　...

紫页114网总裁张杰
　　在当时的农村，参加高考的学生和城市里面的高考学生的成绩...

e搜 Top10

排名	关键词	今日搜索
1	教程	1620
2	MSN7.5下载	1584
3	视频教程	1371
4	MSN8 下载	1371
5	网速测试	1342
6	速雷下载器	1276
7	MSN免费申请	1276
8	net view	1195
9	视频	1188
10	hotmail邮箱	1180

e搜 Update10

微软msn7.5下载	09:41:36
下载msn7.5下载	09:41:22
dr	09:41:14
东方部落	09:41:03
QQ养花	09:40:53
腾讯QQ2005Beat3	09:40:46
ＤＩＺＯＮ	09:40:40
文章搜索	09:40:33
QQ2005Beat3	09:40:28
sony 硬盘DV	09:40:25

商城商品促销