Worm.NetSky.B4A級蠕蟲分析報告

病毒信息：

　　病毒名稱: Worm.NetSky.B
　　威脅級別:
　　發現日期: 2004.02.19
　　處理日期: 2004.02.19
　　病毒別名: W32/Netsky.b@MM [McAfee]
　　　　　　　 W32/Netsky.B.worm [Panda]
　　　　　　　 WORM_NETSKY.B [Trend Micro]
　　　　　　　 Moodown.B [F-Secure]
　　　　　　　 I-Worm.Moodown.b [Kaspersky]
　　病毒類型: 蠕蟲
　　受影響系統: Win9x/WinMe/WinNT/Win2000/WinXP/Win2003
　　能處理的毒霸版本: 2004年02月19日

　　系統修改:

　　· 自我復制到Windows安裝目錄
　　　 %Windir%\services.exe；

　　· 在注冊表主鍵：
　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　　 中添加如下鍵值:
　　　 "service" = "%Windir%\services.exe -serv"

　　　 在注冊表主鍵：
　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　　 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
　　　 中刪除如下鍵值：
　　　 "Taskmon"
　　　 "Explorer"

　　　 在注冊表主鍵：
　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　　 中刪除如下鍵值：
　　　 "KasperskyAV"
　　　 "System."

　　　 刪除以下注冊表鍵值：
　　　 HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-1F-9C87-00AA005127ED}\InProcServer32

　　· 在C盤到Z中搜索名字中含有"Share"或"Sharing"字符串的文件夾。如果找到的文件夾不是
　　　 CD-ROM， 則該病毒將它自己拷貝到該文件夾及其所有的字文件夾中，名字可能是以下所列名字
　　　 列表中的一個：
　　　 doom2.doc.pif
　　　 sex sex sex sex.doc.exe
　　　 rfc compilation.doc.exe
　　　 dictionary.doc.exe
　　　 win longhorn.doc.exe
　　　 e.book.doc.exe
　　　 programming basics.doc.exe
　　　 how to hack.doc.exe
　　　 max payne 2.crack.exe
　　　 e-book.archive.doc.exe
　　　 virii.scr
　　　 nero.7.exe
　　　 eminem - lick my pussy.mp3.pif
　　　 cool screensaver.scr
　　　 serial.txt.exe
　　　 office_crack.exe
　　　 hardcore porn.jpg.exe
　　　 angels.pif
　　　 porno.scr
　　　 matrix.scr
　　　 photoshop 9 crack.exe
　　　 strippoker.exe
　　　 dolly_buster.jpg.pif
　　　 winxp_crack.exe

　　· 在Windows目錄%SystemRoot%下創建一個名為40 .zip的文件，該壓縮文件內為該病毒的眾多拷
　　　 貝。這些拷貝的文件名為以下字符串列表中的一些：
　　　 document
　　　 msg
　　　 doc
　　　 talk
　　　 message
　　　 creditcard
　　　 details
　　　 attachment
　　　 me
　　　 stuff
　　　 posting
　　　 textfile
　　　 concert
　　　 information
　　　 note
　　　 bill
　　　 swimmingpool
　　　 product
　　　 topseller
　　　 ps
　　　 shower
　　　 aboutyou
　　　 nomoney
　　　 found
　　　 story
　　　 mails
　　　 website
　　　 friend
　　　 jokes
　　　 location
　　　 final
　　　 release
　　　 dinner
　　　 ranking
　　　 object
　　　 mail2
　　　 part2
　　　 disco
　　　 party
　　　 misc

　　發作現象:

　　會彈出一個對話框，對話框上顯示以下內容:
　　The file could not be opened!
　　

　　病毒郵件:

　　A、會在以以下后綴結尾的文件中查找Email地址：
　　　 .msg
　　　 .oft
　　　 .sht
　　　 .dbx
　　　 .tbb
　　　 .adb
　　　 .doc
　　　 .wab
　　　 .asp
　　　 .uin
　　　 .rtf
　　　 .vbs
　　　 .html
　　　 .htm
　　　 .pl
　　　 .php
　　　 .txt
　　　 .eml

　　　 B、使用其自帶的SMTP引擎將其自己作為附件發送到以上找到的Email地址中，郵件具有以下特
　　　 　 征：

　　　 　 發件人：<具有欺騙性的地址>
　　　 　 主題：(以下字符串之一)
　　　 　 hi
　　　 　 hello
　　　 　 read it immediately
　　　 　 something for you
　　　 　 warning
　　　 　 information
　　　 　 stolen
　　　 　 fake
　　　 　 unknown
　　　 　 正文：(以下字符串之一)
　　　 　 anything ok?
　　　 　 what does it mean?
　　　 　 ok
　　　 　 i@#m waiting
　　　 　 read the details.
　　　 　 here is the document.
　　　 　 read it immediately!
　　　 　 my hero
　　　 　 here
　　　 　 is that true?
　　　 　 is that your name?
　　　 　 is that your aclearcase/" target="_blank" >ccount?
　　　 　 i wait for a reply!
　　　 　 is that from you?
　　　 　 you are a bad writer
　　　 　 I have your password!
　　　 　 something about you!
　　　 　 kill the writer of this document!
　　　 　 i hope it is not true!
　　　 　 your name is wrong
　　　 　 i found this document about you
　　　 　 yes, really?
　　　 　 that is bad
　　　 　 here it is
　　　 　 see you
　　　 　 greetings
　　　 　 stuff about you?
　　　 　 something is going wrong!
　　　 　 information about you
　　　 　 about me
　　　 　 from the chatter
　　　 　 here, the serials
　　　 　 here, the introduction
　　　 　 here, the cheats
　　　 　 that@#s funny
　　　 　 do you?
　　　 　 reply
　　　 　 take it easy
　　　 　 why?
　　　 　 thats wrong
　　　 　 misc
　　　 　 you earn money
　　　 　 you feel the same
　　　 　 you try to steal
　　　 　 you are bad
　　　 　 something is going wrong
　　　 　 something is fool

　　　 　 附件名：(以下字符串之一)
　　　 　 document
　　　 　 msg
　　　 　 doc
　　　 　 talk
　　　 　 message
　　　 　 creditcard
　　　 　 details
　　　 　 attachment
　　　 　 me
　　　 　 stuff
　　　 　 posting
　　　 　 textfile
　　　 　 concert
　　　 　 information
　　　 　 note
　　　 　 bill
　　　 　 swimmingpool
　　　 　 product
　　　 　 topseller
　　　 　 ps
　　　 　 shower
　　　 　 aboutyou
　　　 　 nomoney
　　　 　 found
　　　 　 story
　　　 　 mails
　　　 　 website
　　　 　 friend
　　　 　 jokes
　　　 　 location
　　　 　 final
　　　 　 release
　　　 　 dinner
　　　 　 ranking
　　　 　 object
　　　 　 mail2
　　　 　 part2
　　　 　 disco
　　　 　 party
　　　 　 misc

　　　 　附件擴展名1：(以下字符串之一)
　　　 　 .txt
　　　 　 .rtf
　　　 　 .doc
　　　 　 .htm
　　　 　附件擴展名2：(以下字符串之一)
　　　 　 .exe
　　　 　 .scr
　　　 　 .com
　　　 　 .pif

　　　 　下圖為收到帶毒郵件的截圖：
　　　　　　

　　解決方案:

　　· 請使用2004年02月19日的病毒庫可完全處理該病毒；

　　· 請不要輕易點擊陌生人的郵件以及下載和運行其所帶附件，在運行可疑附件前最好先用毒霸掃
　　　 描；

　　· 手工解決方案：

對于系統是Windows9x,WindowsMe： 　　步驟一，刪除病毒主程序 　　請使用干凈的系統軟盤引導系統到純DOS模式，然后轉到系統目錄（默認的系統目錄為 　　C:\windows），分別輸入以下命令，以便刪除病毒程序： 　　C:\windows\>del services.exe 　　完畢后，取出系統軟盤，重新引導到Windows系統。 　　如果手中沒有系統軟件盤，可以在引導系統時按“F5”鍵也可進入純DOS模式。 　　步驟二，清除病毒在注冊表里添加的項 　　打開注冊表編輯器: 點擊開始>運行, 輸入REGEDIT, 按Enter； 　　在左邊的面板中, 雙擊（按箭頭順序查找，找到后雙擊）： 　　HKEY_LOCAL_MACHINE > Software > Microsoft > Windows > CurrentVersion>Run 　　在右邊的面板中, 找到并刪除如下項目： 　　"service" = "%Windir%\services.exe -serv" 　　關閉注冊表編輯器。

對于系統是Windows NT,Windows2000,Windows XP,Windows 2003 sever： 　　步驟一，使用進程序管里器結束病毒進程 　　右鍵單擊任務欄，彈出菜單，選擇“任務管理器”，調出“Windows任務管理器”窗口。在任務 　　管理器中，單擊“進程”標簽，在例表欄內找到病毒進程“services.exe”，單擊“結束進程 　　按鈕”，點擊“是”，結束病毒進程，然后關閉“Windows任務管理器”； 　　步驟二，查找并刪除病毒程序 　　通過“我的電腦”或“資源管理器”進入系統目錄（Winnt或windows)，找到文件 　　“services.exe”，將它們刪除； 　　步驟三，清除病毒在注冊表里添加的項 　　打開注冊表編輯器: 點擊開始>運行, 輸入REGEDIT, 按Enter； 　　在左邊的面板中, 雙擊（按箭頭順序查找，找到后雙擊）： 　　HKEY_LOCAL_MACHINE > Software > Microsoft > Windows > CurrentVersion > Run 　　在右邊的面板中, 找到并刪除如下項目： 　　"service" = "%Windir%\services.exe -serv" 　　關閉注冊表編輯器.

,

原文轉自：http://www.kjueaiud.com