找回密码
 注册

QQ登录

只需一步,快速开始

查看: 832|回复: 0
收起左侧

WORM_NETSKY.B病毒分析及清除方法

[复制链接]

该用户从未签到

发表于 2004-3-24 09:33 | 显示全部楼层 |阅读模式
[这个贴子最后由一斛酒在 2004/03/24 09:56am 第 2 次编辑]

  病毒种类: Worm
  具破坏性: 不会
  别名: W32.Netsky.B@mm, Win32.Netsky.B, 网络天下, W32/Netsky-B, I-Worm.Moodown.B, W32/Netsky.b@MM, Moodown.B
  广泛传播: 会
  语言: English
  平台: Windows 95, 98, ME, NT, 2000, XP
  加密: 不会
  病毒大小: 22,016 Bytes
  清除方法(如果不耐烦,可以直接翻到最下面看解决方案。)
  
  该病毒在执行的时候拥有两个扩展名,使用Word的图标,它在Kazaa共享文件夹中生成自身拷贝。
  病毒发出的电子邮件有如下细节特征:
  安装和自启动技术
  该病毒可常驻内存和邮件群发,并在共享文件夹中生成可执行的自身拷贝,拷贝使用Word图标,有两个文件扩展名。
  病毒在运行时会在Windows文件夹中生成名为SERVICES.EXE的自身拷贝。
  为使自身可在每次系统启动时运行,病毒创建如下的注册表项目:
  HKEY_LOCAL_MACHINE\Software\Microsoft\
  Windows\CurrentVersion\Run
  service = %Windows%\services.exe -serv
  (注意: %Windows% 是Windows文件夹,通常是C:\Windows 或C:\WINNT。 )
  病毒在首次运行时,显示如下的消息框:
        
  邮件群发程序
  病毒通过SMTP发送自身拷贝。病毒从C到Z驱动器中搜索带有如下扩展名的文件,从中取得邮件地址:
  ADB
  ASP
  DBX
  DOC
  EML
  HTM
  HTML
  MSG
  OFT
  PHP
  PL
  RTF
  SHT
  TBB
  TXT
  UIN
  VBS
  WAB
  病毒同样将“snet@skynet.de”放到地址池中。
  病毒通过对收集到地址所在的域执行DNS查询获取SMTP服务器地址。病毒将217.5.100.1作为默认DNS查询服务器。
  病毒所发送的邮件有如下细节特征:
  From: 从获得的地址列表中选择
  Subject: (其中之一)
  hi
  hello
  read it immediately
  something for you
  warning
  information
  stolen
  fake
  unknown
  Message body: (其中之一)
  anything ok?
  what does it mean?
  ok
  i'm waiting
  read the details.
  here is the document.
  read it immediately!
  my hero
  here
  is that true?
  is that your name?
  is that your account?
  i wait for a reply!
  is that from you?
  you are a bad writer
  I have your password!
  something about you!
  kill the writer of this document!
  i hope it is not true!
  your name is wrong
  i found this document about you
  yes, really?
  that is bad
  here it is
  see you
  greetings
  stuff about you?
  something is going wrong!
  information about you
  about me
  from the chatter
  here, the serials
  here, the introduction
  here, the cheats
  that's funny
  do you?
  reply
  take it easy
  why?
  thats wrong
  misc
  you earn money
  you feel the same
  you try to steal
  you are bad
  something is going wrong
  something is fool
  
  Attachment:
  文件名为其中之一:
  document
  msg
  doc
  talk
  message
  creditcard
  details
  attachment
  me
  stuff
  posting
  textfile
  concert
  information
  note
  bill
  swimmingpool
  product
  topseller
  ps
  shower
  aboutyou
  nomoney
  found
  story
  mails
  website
  friend
  jokes
  location
  final
  release
  dinner
  ranking
  object
  mail2
  part2
  disco
  party
  misc
  第一扩展名(可能不显示出来)为其中之一:
  TXT
  RTF
  DOC
  HTM
  第二扩展名为其中之一:
  SCR
  COM
  PIF
  EXE
  
  附件经过ZIP压缩。在这里,附件有ZIP扩展名,但其中的文件有一个或两个文件扩展名。
  
  如下为上面描述的邮件截图:
      
  点对点传播
  
  病毒在文件夹中生成大量的自身拷贝,拷贝的文件名带有如下的字符串:
  
  sharing
  share
  文件夹有C:\Program Files\My Shared Folder\Kazaa等。
  
  病毒生成拷贝的文件名为如下其中之一:
  
  angels.pif
  cool screensaver.scr
  dictionary.doc.exe
  dolly_buster.jpg.pif
  doom2.doc.pif
  e.book.doc.exe
  e-book.archive.doc.exe
  eminem - lick my pussy.mp3.pif
  hardcore porn.jpg.exe
  how to hack.doc.exe
  matrix.scr
  max payne 2.crack.exe
  nero.7.exe
  office_crack.exe
  photoshop 9 crack.exe
  porno.scr
  programming basics.doc.exe
  rfc compilation.doc.exe
  serial.txt.exe
  sex sex sex sex.doc.exe
  strippoker.exe
  virii.scr
  win longhorn.doc.exe
  winxp_crack.exe
  病毒同样在Windows系统文件夹中生成经zip压缩的自身拷贝,拷贝文件名有:
  
  aboutyou
  attachment
  bill
  concert
  creditcard
  details
  dinner
  disco
  doc
  final
  found
  friend
  information
  jokes
  location
  mail2
  mails
  me
  message
  misc
  msg
  nomoney
  note
  object
  part2
  party
  posting
  product
  ps
  ranking
  release
  shower
  story
  stuff
  swimmingpool
  talk
  textfile
  topseller
  website
  (注意:文件扩展名为.ZIP,但其中的文件有一或两个文件扩展名。)
  WORM_MYDOOM和WORM_MIMAIL.T清除
  
  病毒通过删除如下的注册表项目,在每次系统启动时阻止执行WORM_MYDOOM.A的执行:
  
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsCurrentVersion\Run,
  Taskmon
  
  HKEY_CURRENT_USER\SOFTWARE\Microsoft\WindowsCurrentVersion\Run,
  Taskmon
  
  病毒同样删除如下的注册表项目阻止WORM_MYDOOM.B的执行。
  
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsCurrentVersion\Run,
  Explorer
  
  HKEY_CURRENT_USER\SOFTWARE\Microsoft\WindowsCurrentVersion\Run,
  Explorer
  
  病毒还能阻止MYDOOM两个变种的执行,方法还是删除注册表项目:
  
  HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-
  00AA005127ED}\InProcServer32
  
  病毒通过删除如下的注册表项目,在每次系统启动时阻止执行WORM_MIMAIL.T的执行:
  
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsCurrentVersion\Run,
  KasperskyAv
  
  病毒最后还会删除可能被其他病毒利用作为自启动项目的如下注册表项目:
  
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsCurrentVersion\Run,
  system
  
  HKEY_CURRENT_USER\SOFTWARE\Microsoft\WindowsCurrentVersion\Run,
  system
  
  其他细节
  
  病毒创建互斥体“AdmSkynetJklS003 ”用于标明自身已在内存运行。
  解决方案:
  1.辨别病毒程序
  在进行病毒清除前,首先辨别该病毒程序。用杀毒软件扫描系统,并记录下检测出的所有 WORM_NETSKY.B 文件。扫描系统前最好下载最新病毒码。
  2.结束病毒程序
  该操作结束内存中运行的病毒进程。你需要刚才记录下的文件名。
  3.打开Windows任务管理器.
  在 Windows 95/98/ME 系统上, 按下CTRL+ALT+DELETE
  在 Windows NT/2000/XP 系统上, 按下CTRL+SHIFT+ESC, 并点击进程标签。在运行的程序列表*中,找到刚才记录下的文件名。
  选择病毒进程,根据系统的Windows版本,按下结束任务或结束进程按钮。
  对运出进程列表中所有的病毒文件执行相同的操作,关闭任务管理器,再重新打开,检查病毒进程是否结束。
  关闭任务管理器
  *注意: 系统上运行的如果是Windows 9x/98/ME, 任务管理器可能不会显示某些进程。你需要其它的进程管理器来结束病毒进程。否则,继续下面操作的同时,注意附加提示。
  4.从注册表中删除自动运行键
  删除注册表中的自动运行键可以防止病毒在每次系统启动的时候运行:
  打开注册表编辑器。点击 Start>Run, 敲入 Regedit,然后回车
  在左边的面板,双击下面的项目:
  HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
  在右边的面板中,找到并删除下面的键:
  service = %Windows%\services.exe -serv
  在左边的面板,双击下面的项目:
  HKEY_CLASSES_ROOT>CLSID>{E6FB5E20-DE35-11CF-9C87-00AA005127ED}
  仍旧在左边的面板,右击并删除如下子键:
  InProcServer32
  仍旧在左边的面板,找到并双击如下:
  InProcServer32
  在右边的面板中,双击(Default)项目,将其值改为:%System%\WEBCHECK.DLL
  关闭注册表编辑器
  注意:如果按照上面操作仍不能结束内存中运行的病毒进程,请重启你的系统。
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|小黑屋|《唐诗宋词》网站 ( 苏ICP备2021032776号 )

GMT+8, 2024-11-26 05:01 , Processed in 0.070191 second(s), 18 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表