WORM_NETSKY.B病毒分析及清除方法

一斛酒

[这个贴子最后由一斛酒在 2004/03/24 09:56am 第 2 次编辑]

　　病毒种类: Worm
　　具破坏性: 不会
　　别名: W32.Netsky.B@mm, Win32.Netsky.B, 网络天下, W32/Netsky-B, I-Worm.Moodown.B, W32/Netsky.b@MM, Moodown.B
　　广泛传播: 会
　　语言: English
　　平台: Windows 95, 98, ME, NT, 2000, XP
　　加密: 不会
　　病毒大小: 22,016 Bytes
　　清除方法（如果不耐烦，可以直接翻到最下面看解决方案。）
　　
　　该病毒在执行的时候拥有两个扩展名，使用Word的图标，它在Kazaa共享文件夹中生成自身拷贝。
　　病毒发出的电子邮件有如下细节特征：
　　安装和自启动技术
　　该病毒可常驻内存和邮件群发，并在共享文件夹中生成可执行的自身拷贝，拷贝使用Word图标，有两个文件扩展名。
　　病毒在运行时会在Windows文件夹中生成名为SERVICES.EXE的自身拷贝。
　　为使自身可在每次系统启动时运行，病毒创建如下的注册表项目：
　　HKEY_LOCAL_MACHINE\Software\Microsoft\
　　Windows\CurrentVersion\Run
　　service = %Windows%\services.exe -serv
　　(注意： %Windows% 是Windows文件夹，通常是C:\Windows 或C:\WINNT。 )
　　病毒在首次运行时，显示如下的消息框：
　　　　　　　　
　　邮件群发程序
　　病毒通过SMTP发送自身拷贝。病毒从C到Z驱动器中搜索带有如下扩展名的文件，从中取得邮件地址：
　　ADB
　　ASP
　　DBX
　　DOC
　　EML
　　HTM
　　HTML
　　MSG
　　OFT
　　PHP
　　PL
　　RTF
　　SHT
　　TBB
　　TXT
　　UIN
　　VBS
　　WAB
　　病毒同样将“snet@skynet.de”放到地址池中。
　　病毒通过对收集到地址所在的域执行DNS查询获取SMTP服务器地址。病毒将217.5.100.1作为默认DNS查询服务器。
　　病毒所发送的邮件有如下细节特征：
　　From: 从获得的地址列表中选择
　　Subject: (其中之一)
　　hi
　　hello
　　read it immediately
　　something for you
　　warning
　　information
　　stolen
　　fake
　　unknown
　　Message body: (其中之一)
　　anything ok?
　　what does it mean?
　　ok
　　i'm waiting
　　read the details.
　　here is the document.
　　read it immediately!
　　my hero
　　here
　　is that true?
　　is that your name?
　　is that your account?
　　i wait for a reply!
　　is that from you?
　　you are a bad writer
　　I have your password!
　　something about you!
　　kill the writer of this document!
　　i hope it is not true!
　　your name is wrong
　　i found this document about you
　　yes, really?
　　that is bad
　　here it is
　　see you
　　greetings
　　stuff about you?
　　something is going wrong!
　　information about you
　　about me
　　from the chatter
　　here, the serials
　　here, the introduction
　　here, the cheats
　　that's funny
　　do you?
　　reply
　　take it easy
　　why?
　　thats wrong
　　misc
　　you earn money
　　you feel the same
　　you try to steal
　　you are bad
　　something is going wrong
　　something is fool
　　
　　Attachment:
　　文件名为其中之一：
　　document
　　msg
　　doc
　　talk
　　message
　　creditcard
　　details
　　attachment
　　me
　　stuff
　　posting
　　textfile
　　concert
　　information
　　note
　　bill
　　swimmingpool
　　product
　　topseller
　　ps
　　shower
　　aboutyou
　　nomoney
　　found
　　story
　　mails
　　website
　　friend
　　jokes
　　location
　　final
　　release
　　dinner
　　ranking
　　object
　　mail2
　　part2
　　disco
　　party
　　misc
　　第一扩展名（可能不显示出来）为其中之一：
　　TXT
　　RTF
　　DOC
　　HTM
　　第二扩展名为其中之一：
　　SCR
　　COM
　　PIF
　　EXE
　　
　　附件经过ZIP压缩。在这里，附件有ZIP扩展名，但其中的文件有一个或两个文件扩展名。
　　
　　如下为上面描述的邮件截图：
　　　　　　
　　点对点传播
　　
　　病毒在文件夹中生成大量的自身拷贝，拷贝的文件名带有如下的字符串：
　　
　　sharing
　　share
　　文件夹有C:\Program Files\My Shared Folder\Kazaa等。
　　
　　病毒生成拷贝的文件名为如下其中之一：
　　
　　angels.pif
　　cool screensaver.scr
　　dictionary.doc.exe
　　dolly_buster.jpg.pif
　　doom2.doc.pif
　　e.book.doc.exe
　　e-book.archive.doc.exe
　　eminem - lick my pussy.mp3.pif
　　hardcore porn.jpg.exe
　　how to hack.doc.exe
　　matrix.scr
　　max payne 2.crack.exe
　　nero.7.exe
　　office_crack.exe
　　photoshop 9 crack.exe
　　porno.scr
　　programming basics.doc.exe
　　rfc compilation.doc.exe
　　serial.txt.exe
　　sex sex sex sex.doc.exe
　　strippoker.exe
　　virii.scr
　　win longhorn.doc.exe
　　winxp_crack.exe
　　病毒同样在Windows系统文件夹中生成经zip压缩的自身拷贝，拷贝文件名有：
　　
　　aboutyou
　　attachment
　　bill
　　concert
　　creditcard
　　details
　　dinner
　　disco
　　doc
　　final
　　found
　　friend
　　information
　　jokes
　　location
　　mail2
　　mails
　　me
　　message
　　misc
　　msg
　　nomoney
　　note
　　object
　　part2
　　party
　　posting
　　product
　　ps
　　ranking
　　release
　　shower
　　story
　　stuff
　　swimmingpool
　　talk
　　textfile
　　topseller
　　website
　　(注意：文件扩展名为.ZIP，但其中的文件有一或两个文件扩展名。)
　　WORM_MYDOOM和WORM_MIMAIL.T清除
　　
　　病毒通过删除如下的注册表项目，在每次系统启动时阻止执行WORM_MYDOOM.A的执行：
　　
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsCurrentVersion\Run,
　　Taskmon
　　
　　HKEY_CURRENT_USER\SOFTWARE\Microsoft\WindowsCurrentVersion\Run,
　　Taskmon
　　
　　病毒同样删除如下的注册表项目阻止WORM_MYDOOM.B的执行。
　　
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsCurrentVersion\Run,
　　Explorer
　　
　　HKEY_CURRENT_USER\SOFTWARE\Microsoft\WindowsCurrentVersion\Run,
　　Explorer
　　
　　病毒还能阻止MYDOOM两个变种的执行，方法还是删除注册表项目：
　　
　　HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-
　　00AA005127ED}\InProcServer32
　　
　　病毒通过删除如下的注册表项目，在每次系统启动时阻止执行WORM_MIMAIL.T的执行：
　　
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsCurrentVersion\Run,
　　KasperskyAv
　　
　　病毒最后还会删除可能被其他病毒利用作为自启动项目的如下注册表项目：
　　
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsCurrentVersion\Run,
　　system
　　
　　HKEY_CURRENT_USER\SOFTWARE\Microsoft\WindowsCurrentVersion\Run,
　　system
　　
　　其他细节
　　
　　病毒创建互斥体“AdmSkynetJklS003 ”用于标明自身已在内存运行。
　　解决方案:
　　1.辨别病毒程序
　　在进行病毒清除前，首先辨别该病毒程序。用杀毒软件扫描系统，并记录下检测出的所有 WORM_NETSKY.B 文件。扫描系统前最好下载最新病毒码。
　　2.结束病毒程序
　　该操作结束内存中运行的病毒进程。你需要刚才记录下的文件名。
　　3.打开Windows任务管理器.
　　在 Windows 95/98/ME 系统上, 按下CTRL+ALT+DELETE
　　在 Windows NT/2000/XP 系统上, 按下CTRL+SHIFT+ESC, 并点击进程标签。在运行的程序列表*中，找到刚才记录下的文件名。
　　选择病毒进程，根据系统的Windows版本，按下结束任务或结束进程按钮。
　　对运出进程列表中所有的病毒文件执行相同的操作，关闭任务管理器，再重新打开，检查病毒进程是否结束。
　　关闭任务管理器
　　*注意: 系统上运行的如果是Windows 9x/98/ME, 任务管理器可能不会显示某些进程。你需要其它的进程管理器来结束病毒进程。否则，继续下面操作的同时，注意附加提示。
　　4.从注册表中删除自动运行键
　　删除注册表中的自动运行键可以防止病毒在每次系统启动的时候运行：
　　打开注册表编辑器。点击 Start>Run, 敲入 Regedit,然后回车
　　在左边的面板，双击下面的项目：
　　HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
　　在右边的面板中，找到并删除下面的键：
　　service = %Windows%\services.exe -serv
　　在左边的面板，双击下面的项目：
　　HKEY_CLASSES_ROOT>CLSID>{E6FB5E20-DE35-11CF-9C87-00AA005127ED}
　　仍旧在左边的面板，右击并删除如下子键：
　　InProcServer32
　　仍旧在左边的面板，找到并双击如下：
　　InProcServer32
　　在右边的面板中，双击(Default)项目，将其值改为：%System%\WEBCHECK.DLL
　　关闭注册表编辑器
　　注意：如果按照上面操作仍不能结束内存中运行的病毒进程，请重启你的系统。