“網絡天空”變種T(Worm.Netsky.T)分析報告

發布: 2007-7-02 21:50 | 作者: admin | 來源: | 查看: 13次 | 進入軟件測試論壇討論

　　病毒名稱: Worm.NetSky.t
　　中文名稱: 網絡天空變種T
　　威脅級別:
　　病毒別名: WORM_NETSKY.T [Trend]
　　　　　　　 W32/Netsky.t@MM [McAfee]
　　　　　　　 W32.Netsky.T@mm [Symantec]
　　　　　　　 W32/Netsky-T [Sophos]
　　　　　　　 Win32.Netsky.T [Computer Associates]
　　　　　　　 I-Worm.Netsky.t [Kaspersky]
　　病毒類型: 郵件蠕蟲、后門
　　受影響系統:Win9x/Win2000/WinXp/Windows Server 2003
　　能處理的毒霸版本: 2004.04.08

　破壞方式：

　　· 在感染的系統中收集大量郵件地址，使自己的SMTP引擎發送大量病毒垃圾郵件；
　　· 開后門，可自動下載并執行可執行程序，使系統再感染其它病毒；
　　· 對指定網絡發起DoS（拒絕服務）式攻周。

　系統修改：（點擊查看詳情）

1、創建以下互訴體，確保病毒只有一個進程在運行
Protect_USUkUyUnUeUtU_Mutex
SyncMutex_USUkUyUnUeUtU

2、自我復制到系統安裝目錄：
%Windir%\EasyAV.exe
（其中，%Windir%在Windows 95/98/Me下為C:\Windows，在Windows NT/2000下為C:\Winnt，在Windows XP下為 C:\Windows）

3、病毒會在系統安裝目錄釋放以下文件：
UINMZERTINMDS.OPM 該文件是病毒編碼后的復本

4、添加以下鍵值
"EasyAV"="%Windir%\EasyAV.exe"
到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
以便病毒可隨機自啟動

5、病毒在6789端口開后門，如果有攻擊者利用該端口發送一個可執行文件到病毒感染的系統，病毒會將該文件保存為一個隨機文件名的EXE文件，并立即執行它�？墒瓜到y感染其它類型的病毒

6、病毒在2004年4月14日到2004年4月23日對以下網址時行DoS攻擊
www.cracks.am
www.emule.de
www.kazaa.com
www.freemule.net
www.keygen.us

7、病毒掃描驅動器C到Z，并從具有以下后綴名的文件中收集郵件地址：
.eml 、.txt 、.php 、.asp 、.wab 、.doc 、.sht 、.oft 、.msg 、.vbs 、.rtf
.uin 、.shtm 、.cgi 、.dhtm 、.adb 、.tbb 、.dbx 、.pl 、.htm 、.html 、.jsp
.wsh 、.xml 、.cfg 、.mbx 、.mdx 、.mht 、.mmf 、.nch 、.ods 、.stm 、.xls 、.ppt

8、如果系統日期不為2004年4月，或日小于14日或大于16日病毒會嘗試使用自己的SMTP發信引擎利用搜索到的郵件地址發送病毒郵件；

以下是郵件特征：

發件人: <從收集的郵件地址中選擇>

主題: (從以下選擇任意字符串)
Hello!
Hi!
Re: Important
Important
Re: My details
My details
Re: Your information
Your information
Re: Your details
Your details
Re: Your document
Your document
Re: Request
Request
Re: Thanks you!
Thank you!
Re: Approved
Approved
Re: Hello
Re: Hi
Hello
Approved file
List
Corrected document
Archive
Abuse list
Presentation document
Instructions
Details
Improved document
Note
Message
Contact list
Number list
File
Secound document
Improved file
User list
Textfile
New document
Text
Information
Info
Word document
Excel document
Powerpoint document
Detailed document
Homepage
Letter
Mail
Document
Old document
Approved document
Movie document
Picture document
Summary
Description
Requested document
Notice
Bill
Answer
Release
Final version
Diggest
Important document
Order
Photo document
Personal message
Phone number
E-mail
Icq number
Report
Story
Concept
Developement
Sample
Postcard
Account

附件名：
<隨機名>[隨機數字].pif
<隨機名>可能為以下字符串之一
approved_file
list
corrected_document
archive
abuse_list
presentation_document
instructions
details
improved_document
note
message
contact_list
number_list
file
secound_document
improved_file
user_list
textfile
new_document
text
information
info
word_document
excel_document
powerpoint_document
detailed_document
homepage
letter
mail
document
old_document
approved_document
movie_document
picture_document
summary
description
requested_document
notice
bill
answer
release
final_version
diggest
important_document
order
photo_document
personal_message
phone_number
e-mail
icq_number
report
story
concept
developement
sample
postcard
account

內容：

第一部份可能為以下字符串之一
Hi!
Hello!

第二部份可能為以下字符串之一
Note that I have attached your document.
My <附件的文件名>.
The <附件的文件名>.
I have spent much time for the <附件的文件名>.
I have spent much time for your document.
Your <附件的文件名>.
Please notice the attached <附件的文件名>.
Please notice the attached document.
Please read quickly.
For more details see the attached document.
For more information see the attached document.
Approved, here is the document.
I have found the <附件的文件名>.
My <附件的文件名> is attached.
Your <附件的文件名> is attached.
Please, <附件的文件名>.
Your file is attached to this mail.
Please read the attached document.
Please have a look at the attached document.
See the document for details.
Here is the document.
The requested <附件的文件名> is attached!
I have sent the <附件的文件名>.
Please see the <附件的文件名>.
The <附件的文件名> is attached.
Here is the <附件的文件名>.
Please have a look at the <附件的文件名>.
Please read the <附件的文件名>.

第三部份可能為以下字符串之一
Yours sincerely
Thank you
Thanks

　

　　· 已經于4月08日對該病毒進行了應急處理，請升級最新版可完全查該病毒；

　　· 在收取郵件和在線聊天時不要輕易打開陌生人傳來的文件，如果有必要打開，請使用最新病毒
　　　庫的反病毒軟件檢測后再打開；在沒有升級IE最新補丁的情況下，不要輕易點擊好友發來的網
　　　址；

　　· 手工解決方案
　
　　　首先，若系統為WinMe，則請先關閉系統還原功能；
　　　（毒霸論壇：反病毒可能需要用到的方法及操作 > ）

　 對于系統是Win9x/WinMe：

　　步驟一，刪除病毒主程序
　　請使用干凈的系統軟盤引導系統到純DOS模式，然后轉到系統目錄（默認的系統目錄為
　　C:\windows），分別輸入以下命令，以便刪除病毒程序：
　　C:\windows\>del EasyAV.exe
　　完畢后，取出系統軟盤，重新引導到Windows系統。
　　如果手中沒有系統軟件盤，可以在引導系統時按“F5”鍵也可進入純DOS模式。

　　步驟二，清除病毒在注冊表里添加的項
　　打開注冊表編輯器: 點擊開始>運行, 輸入REGEDIT, 按Enter；
　　在左邊的面板中, 雙擊（按箭頭順序查找，找到后雙擊）：
　　HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
　　在右邊的面板中, 找到并刪除如下項目：
　　"EasyAV"="%Windir%\EasyAV.exe"
　　關閉注冊表編輯器。

　 對于系統是Windows NT, Windows 2000, Windows XP, Windows 2003 Sever：

　　步驟一，使用進程序管里器結束病毒進程
　　右鍵單擊任務欄，彈出菜單，選擇“任務管理器”，調出“Windows任務管理器”窗口。在任
　　務管理器中，單擊“進程”標簽，在例表欄內找到病毒進程“EasyAV.exe”，單擊“結束進
　　程按鈕 ”，點擊“是”，結束病毒進程，然后關閉“Windows任務管理器”；

　　步驟二，查找并刪除病毒程序
　　通過“我的電腦”或“資源管理器”進入系統目錄（\Winnt或\windows)，
　　找到文件“EasyAV.exe”將它刪除。注意清空回收站內的內容；

　　步驟三，清除病毒在注冊表里添加的項
　　打開注冊表編輯器: 點擊開始>運行, 輸入REGEDIT, 按Enter；
　　在左邊的面板中, 雙擊（按箭頭順序查找，找到后雙擊）：
　　HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
　　在右邊的面板中, 找到并刪除如下項目：
　　"EasyAV"="%Windir%\EasyAV.exe"
　　關閉注冊表編輯器.

,