微信公众平台图文尺寸:请问怎么解决Worm_Netsky.D(网络天空)病毒?

来源:百度文库 编辑:高校问答 时间:2024/03/29 20:37:20
如题

http://it.rising.com.cn/service/technology/RS_Netsky.htm 网络病毒专杀工具

计算机病毒应急处理中心通过对互联网的监测,于2004年3月1日发现异常的病毒的邮件,经分析证实该病毒为“网络天空”病毒又一个变种,同时,该变种的一些特征与Worm_Netsky.C相同,如windows文件夹下生成的病毒文件名称,修改注册表键值已达到自启动的目的,以及删除的部分注册表键值。我们将该病毒命名为Worm_Netsky.D。该病毒已经在美国、日本、法国等传播。并且已经在我国出现。
该变种并没有什么新的技术和功能,只是在病毒邮件的主题、内容和附件上发生了变化,并且病毒附件需要点击运行病毒才能发作。所以对于用户来讲最重要的还是要立即升级杀毒软件,启动“实时监控”和“邮件监控”功能,同时在接收电子邮件时提高警惕,不要轻易打开邮件的附件。

该病毒通过邮件传播的蠕虫病毒,病毒邮件的发信人、主题、内容和附件都是不固定的,附件为一个.pif文件。当病毒运行时,会生成病毒文件、修改和删除注册表项。

病毒名称: Worm_Netsky.D(“网络天空”病毒变种)

其它英文命名:W32/Netsky.d@MM (McAfee)

W32/Netsky.D.worm (Panda)

WORM_NETSKY.D (Trend Micro)

I-Worm.Netsky.d (Kaspersky)

Win32.Netsky.D (Computer Associates)

W32/Netsky-D (Sophos)

“网络天空变种D”(Worm.Netsky.d) (金山)

感染系统:Win9x/WinMe/WinNT/Win2000/WinXP/Win2003

病毒长度:17,424字节

病毒特征:

病毒使用UPX压缩,通过电子邮件进行传播。运行后,在Windows目录下生成自身的拷贝,修改注册表键值。病毒的拷贝有两个扩展名,使用Word的图标,并在共享文件夹中生成自身拷贝。

1、生成病毒文件

病毒运行后,在%Windows%目录下生成自身的拷贝,名称为Winlogon.exe。

(其中,%Windows% 是Windows的默认文件夹,通常是 C:或 C:)

2、修改注册表项

病毒创建注册表项,使得自身能够在系统启动时自动运行,在

HKEY_LOCAL_MACHINE下创建

ICQ Net = "%Windows%.exe -stealth"

3、删除注册表中的键值

为了达到影响系统运行的目的,会试图删除多个重要的注册表键值。

病毒在

HKEY_LOCAL_MACHINE和

HKEY_CURRENT_USER下寻找并删除下列键值:

Explorer

KasperskyAV

Taskmon

Windows Services Host

在HKEY_LOCAL_MACHINE下删除下列键值:

System.

msgsvr32

DELETE ME

service

Sentry

在HKEY_CURRENT_USER下删除下列键值:

d3dupdate.exe

au.exe

OLE

在HKEY_LOCAL_MACHINE下删除下列键值:

System.

3、通过电子邮件进行传播

病毒在被感染用户的系统内搜索以下扩展名的文件,找到电子邮件地址,并使用的自带的SMTP向这些地址发送带毒的电子邮件。

.dhtm

.cgi

.shtm

.msg

.oft

.sht

.dbx

.tbb

.adb

.doc

.wab

.asp

.uin

.rtf

.vbs

.html

.htm

.pl

.php

.txt

.eml

病毒发送的带毒电子邮件格式如下:

发件人:(可能不是真实的邮件地址,具有欺骗性的地址)

主题:(为下列之一)

Re: Your website

Re: Your product

Re: Your letter

Re: Your archive

Re: Your text

Re: Your bill

Re: Your details

Re: My details

Re: Word file

Re: Excel file

Re: Details

Re: Approved

Re: Your software

Re: Your music

Re: Here

Re: Re: Re: Your document

Re: Hello

Re: Hi

Re: Re: Message

Re: Your picture

Re: Here is the document

Re: Your document

Re: Thanks!

Re: Re: Thanks!

Re: Re: Document

Re: Document

内容:(为下列之一)

Your file is attached.

Please read the attached file.

Please have a look at the attached file.

See the attached file for details.

Here is the file.

Your document is attached

附件:(扩展名为.pif的文件,名称为下列之一)

your_website.pif

your_product.pif

your_letter.pif

your_archive.pif

your_text.pif

your_bill.pif

your_details.pif

document_word.pif

document_excel.pif

my_details.pif

all_document.pif

application.pif

mp3music.pif

yours.pif

document_4351.pif

your_file.pif

message_details.pif

your_picture.pif

document_full.pif

message_part2.pif

document.pif

your_document.pif

4、其它(在共享文件夹下生成病毒文件)

病毒还会尝试连接如下的外部DNS:

145.253.2.171

151.189.13.35

193.141.40.42

193.189.244.205

193.193.144.12

193.193.158.10

194.25.2.129

194.25.2.129

194.25.2.130

194.25.2.131

194.25.2.132

194.25.2.133

194.25.2.134

195.185.185.195

195.20.224.234

212.185.252.136

212.185.252.73

212.185.253.70

212.44.160.8

212.7.128.162

212.7.128.165

213.191.74.19

217.5.97.137

62.155.255.16

手工清除该病毒的相关操作:

1、终止病毒进程

在Windows 9x/ME系统,同时按下CTRL+ALT+DELETE,在Windows NT/2000/XP系统中,同时按下CTRL+SHIFT+ESC,选择“任务管理器--〉进程”,选中正在运行的进程“Winlogon.exe”,并终止其运行。

2、注册表的恢复

点击“开始--〉运行”,输入regedit,运行注册表编辑器,依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ,并删除面板右侧的ICQ Net = "%Windows%.exe -stealth"

3、删除病毒释放的文件

点击“开始--〉查找--〉文件和文件夹”,查找文件“Winlogon.exe”,并将找到的文件删除。

4、运行杀毒软件,对系统进行全面的病毒查杀