|
|
国家计算机病毒应急处理中心通过对互联网的监测,于2004年2月19日发现异常的病毒的邮件,经分析证实该病毒为又一种新的蠕虫病毒“网络天空”(Worm_Netsky.B )病毒。
目前,国内已有一些用户受到感染,国家计算机病毒应急处理中心在这里提醒广大用户,立即升级杀毒软件,并启动“实时监控”功能,做好病毒的防范工作。
有关该病毒分析报告如下:
病毒名称: “网络天空”(Worm_Netsky.B )
其它英文命名:W32/Netsky.b@MM (McAfee)
W32/Netsky.B.worm (Panda)
WORM_NETSKY.B (Trend Micro)
Moodown.B (F-Secure)
I-Worm.Moodown.b (Kaspersky)
感染系统:Win9x/WinMe/WinNT/Win2000/WinXP/Win2003
病毒长度:22,016 字节(压缩后),1,984 字节(解压后)
病毒特征:
病毒使用UPX压缩,通过电子邮件进行传播。运行后,在Windows
目录下生成自身的拷贝,修改注册表键值。病毒的拷贝有两个扩展
名,使用Word的图标,并在共享文件夹中生成自身拷贝。
1、生成病毒文件
病毒运行后,在%Windows%目录下生成自身的拷贝,名称为
services.exe, (其中,%Windows% 是Windows的默认文件夹,通常是
C:\Windows 或 C:\WINNT)
2、修改注册表项
病毒创建注册表项,使得自身能够在系统启动时自动运行,在
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Run下创建 sservice = %Windows%\services.exe -serv
3、通过电子邮件进行传播
病毒在被感染用户的系统内搜索所有扩展名为.msg 、.oft 、.sht
、.dbx 、.tbb 、.adb 、.doc 、.wab 、.asp 、.uin 、.rtf 、.vbs 、.html
、.htm 、.pl 、.php 、.txt的文件,并从中寻找合法电子邮件地址,并使用
的自带的SMTP向这些地址发送带毒的电子邮件。
病毒发送的带毒电子邮件格式如下:
发件人:(可能不是真实的邮件地址,具有欺骗性的地址)
主题:(为下列之一)
hi
hello
read it immediately
something for you
warning
information
stolen
fake
unknown
内容:(为下列之一)
anything ok?
what does it mean?
ok
i'm waiting
read the details.
here is the document.
read it immediately!
my hero
here
is that true?
is that your name?
is that your account?
i wait for a reply!
is that from you?
you are a bad writer
I have your password!
something about you!
kill the writer of this document!
i hope it is not true!
your name is wrong
i found this document about you
yes, really?
that is bad
here it is
see you
greetings
stuff about you?
something is going wrong!
information about you
about me
from the chatter
here, the serials
here, the introduction
here, the cheats
that's funny
do you?
reply
take it easy
why?
thats wrong
misc
you earn money
you feel the same
you try to steal
you are bad
something is going wrong
something is fool
附件:(名称为下列之一,同时带有双扩展名)
document
msg
doc
talk
message
creditcard
details
attachment
me
stuff
posting
textfile
concert
information
note
bill
swimmingpool
product
topseller
ps
shower
aboutyou
nomoney
found
story
mails
website
friend
jokes
location
final
release
dinner
ranking
object
mail2
part2
disco
party
misc
附件扩展名1:(为下列之一)
.txt
.rtf
.doc
.htm
附件扩展名2:(为下列之一)
.exe
.scr
.com
.pif
5、病毒发作现象
在病毒第一次运行的时候,它显示包含如下字符串的信息框: The file could not be opened!(如下图所示)
6、病毒还在共享文件夹下生成自身的拷贝,病毒拷贝的名称为下列之一:
doom2.doc.pif
sex sex sex sex.doc.exe
rfc compilation.doc.exe
dictionary.doc.exe
win longhorn.doc.exe
e.book.doc.exe
programming basics.doc.exe
how to hack.doc.exe
max payne 2.crack.exe
e-book.archive.doc.exe
virii.scr
nero.7.exe
eminem - lick my pussy.mp3.pif
cool screensaver.scr
serial.txt.exe
office_crack.exe
hardcore porn.jpg.exe
angels.pif
porno.scr
matrix.scr
photoshop 9 crack.exe
strippoker.exe
dolly_buster.jpg.pif
winxp_crack.exe
手工清除该病毒的相关操作:
1、终止病毒进程
在Windows 9x/ME系统,同时按下CTRL+ALT+DELETE,在Windows NT/2000/XP系统中,同时按下CTRL+SHIFT+ESC,选择“任务管理器——〉进程”,选中正在运行的进程“services.exe”,并终止其运行。
2、注册表的恢复
点击“开始——〉运行”,输入regedit,运行注册表编辑器,依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ,并删除面板右侧的sservice = %Windows%\services.exe -serv
3、删除病毒释放的文件
点击“开始——〉查找——〉文件和文件夹”,查找文件“services.exe”,并将找到的文件删除。
4、运行杀毒软件,对系统进行全面的病毒查杀
从病毒设定的发作截止日期我们看出,该病毒的运行时间主要在春节期间,这一时期很多用户会上网收发邮件,互致问候,病毒邮件就掺杂在其中迷惑用户。所以,用户一定要了解该病毒的主要特征,遇到此类邮件立即删除,千万不要打开邮件的附件,避免病毒的感染和进一步的传播。
目前,趋势和江民、瑞星公司已经上报解决方案,并对产品进行了升级,都可以有效的清除该病毒。
|
|
IP卡
狗仔卡
发表于 2004-2-25 16:35:00
][
][
]
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
微信
收藏
转播
分享
淘帖
提升卡
置顶卡
沉默卡
喧嚣卡
楼主
发表于 2004-2-27 21:27:00
