“网络天空”蠕虫变种(I-Worm/NetSky.b)技术分析 |
|---|
|
| www.iselong.com 作者: |
|
病毒长度:22,016 bytes
病毒类型:网络蠕虫
这是一个群发邮件的网络蠕虫病毒,它会利用自身的SMTP引擎通过向外发送带有病毒自身的电子邮件进行传播,其所发送的电子邮件的主题、内容还有附件都不是固定的。该网络蠕虫还会搜索所有的硬盘驱动器,一旦发现名称包含"Share"或者"Sharing"的文件夹,就会将病毒自身复制过去,等待传播的机会。
该病毒传播的过程如下:
1.显示一个对话框:"The file could not be opened!"(文件不能正常打开)
2.在Windows的安装目录下复制病毒自身文件services.exe,并在系统注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中添加
"service" = "%Windir%\services.exe -serv"键值,使生成的病毒文件可以在系统启动后自动运行。
3.删除注册表中的下列键值:
删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 和
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices中的"Taskmon" 和"Explorer"键值;
删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的"KasperskyAV" 和
"System."键值。
4.删除注册表的
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32子键。
5.在所有硬盘驱动器以及所有映射驱动器上搜索.msg ,.oft ,.sht ,.dbx ,.tbb ,.adb ,.doc ,.wab ,.asp ,
.uin ,.rtf ,.vbs ,.html ,.htm ,.pl ,.php ,.txt ,.eml类型的文件,从中搜索有效的Email地址作为传播目标。
6.利用自身的SMTP引擎向所有找到的Email地址发送带有病毒自身的电子邮件进行传播。其所发送的邮件来源是伪装的,并非发件地址所在的计算机感染此病毒。而且邮件的主题、内容和附件都是随机变化的,另用户极难识别。
7.该蠕虫病毒会搜索从C到Z的所有驱动器中名称包含 "Share"或者"Sharing"的文件夹,如果该文件夹不是在CD-ROM驱动器中,那么病毒会将自身的下列文件复制到该文件夹以及其子目录下:
doom2.doc.pif
sex sex sex sex.doc.exe
rfc compilation.doc.exe
dictionary.doc.exe
win longhorn.doc.exe
e.book.doc.exe
programming basics.doc.exe
how to hack.doc.exe
max payne 2.crack.exe
e-book.archive.doc.exe
virii.scr
nero.7.exe
eminem - lick my pussy.mp3.pif
cool screensaver.scr
serial.txt.exe
office_crack.exe
hardcore porn.jpg.exe
angels.pif
porno.scr
matrix.scr
photoshop 9 crack.exe
strippoker.exe
dolly_buster.jpg.pif
winxp_crack.exe
8.在Windows的安装路径下生成40个包含蠕虫自身的.zip格式的压缩文件,这些文件的文件名也是随机变化的。
|
