当前位置: 万千英语族 > 英语频道 > 数字生存 > 病毒与安全 > 正文	阅读字体:大中小

趋势科技：WORM_NETSKY.B分析

www.iselong.com 作者:

病毒种类: Worm

具破坏性: 不会

别名: W32.Netsky.B@mm, Win32.Netsky.B, 网络天下, W32/Netsky-B, I-Worm.Moodown.B, W32/Netsky.b@MM, Moodown.B

可侦测的最新病毒码: 769

可侦测的最新扫描引擎: 5.600　

风险程度:　中度　

--------------------------------------------------------------------------------

说明:

2004年2月18日，太平洋标准时间上午4：36，趋势科技收到关于新病毒正在日本和德国传播的报告。这种被检测为WORM_NETSKY.B的病毒通过电子邮件进行传播。

该病毒在执行的时候拥有两个扩展名，使用Word的图标，它在Kazaa共享文件夹中生成自身拷贝。

病毒发出的电子邮件有如下细节特征：

From:使用虚假地址。从获得的地址列表中选择。

Subject: (其中之一)
hi
hello
read it immediately
something for you
warning
information
stolen
fake
unknown

Message body: (其中之一)
anything ok?
what does it mean?
ok
i'm waiting
read the details.
here is the document.
read it immediately!
my hero
here
is that true?
is that your name?
is that your account?
i wait for a reply!
is that from you?
you are a bad writer
I have your password!
something about you!
kill the writer of this document!
i hope it is not true!
your name is wrong
i found this document about you
yes, really?
that is bad
here it is
see you
greetings
stuff about you?
something is going wrong!
information about you
about me
from the chatter
here, the serials
here, the introduction
here, the cheats
that's funny
do you?
reply
take it easy
why?
thats wrong
misc
you earn money
you feel the same
you try to steal
you are bad
something is going wrong
something is fool

Attachment:
文件名为其中之一：
document
msg
doc
talk
message
creditcard
details
attachment
me
stuff
posting
textfile
concert
information
note
bill
swimmingpool
product
topseller
ps
shower
aboutyou
nomoney
found
story
mails
website
friend
jokes
location
final
release
dinner
ranking
object
mail2
part2
disco
party
misc

第一扩展名（可能不显示出来）为其中之一：
TXT
RTF
DOC
HTM

第二扩展名为其中之一：
SCR
COM
PIF
EXE

这种UPX压缩的病毒运行在Windows 95, 98, ME, NT, 2000, 和 XP系统上。

解决方案:

辨别病毒程序

在进行病毒清除前，首先辨别该病毒程序。

使用趋势科技的防病毒产品扫描你的系统。记录下检测出的所有 WORM_NETSKY.B 文件。趋势科技的用户在扫描系统前应该下载最新病毒码。其它的网络用户可以使用趋势科技的免费在线病毒扫描器 Housecall。

结束病毒程序

该操作结束内存中运行的病毒进程。你需要刚才记录下的文件名。

打开Windows任务管理器.
在 Windows 95/98/ME 系统上, 按下
CTRL+ALT+DELETE
在 Windows NT/2000/XP 系统上, 按下
CTRL+SHIFT+ESC, 并点击进程标签
在运行的程序列表*中，找到刚才记录下的文件名
选择病毒进程，根据系统的Windows版本，按下结束任务或结束进程按钮。
对运出进程列表中所有的病毒文件执行相同的操作
关闭任务管理器，再重新打开，检查病毒进程是否结束
关闭任务管理器
*注意: 系统上运行的如果是Windows 9x/98/ME, 任务管理器可能不会显示某些进程。你需要其它的进程管理器来结束病毒进程。否则，继续下面操作的同时，注意附加提示。

从注册表中删除自动运行键

删除注册表中的自动运行键可以防止病毒在每次系统启动的时候运行：

打开注册表编辑器。点击 Start>Run, 敲入 Regedit,然后回车
在左边的面板，双击下面的项目：
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
在右边的面板中，找到并删除下面的键：
service = %Windows%\services.exe -serv
在左边的面板，双击下面的项目：
HKEY_CLASSES_ROOT>CLSID>{E6FB5E20-DE35-11CF-9C87-00AA005127ED}
仍旧在左边的面板，右击并删除如下子键：
InProcServer32
仍旧在左边的面板，找到并双击如下：
InProcServer32
在右边的面板中，双击(Default)项目，将其值改为：
%System%\WEBCHECK.DLL
关闭注册表编辑器
注意：如果按照上面操作仍不能结束内存中运行的病毒进程，请重启你的系统。

【收藏至ViVi】【论坛】【英语词典】【英语广播】【打印】【评论】【关闭】

·“网络天空”蠕虫变种(I-Worm/NetSky.b)技术分析 2月20日
·病毒预警:"Worm.NetSky.B"4A级蠕虫分析报告 2月20日
·瑞星管理层发生变动销售副总裁马斌离职 2月20日
·猛料:VPN免费软件----SoftEther 2月20日

资料更新时间: 2004-2-20 12:53:21
资料标题:《趋势科技：WORM_NETSKY.B分析》
检索关键字:病毒
资料编号:1752
资料来源:不详
万千英语族或其成员转载此文档旨在传达更多资讯之目的,不代表万千英语族赞同或暗示其内容准确性,对于读者参照本文档操作可能造成的任何损失亦不承担任何责任.