W32.Netsky.AD@mm是一个集中发送邮件的蠕虫病毒,它使用自己的SMTP引擎将自身发送到在被感染系统中找到的邮件地址。邮件标题、消息内容以及附件是不同的。该病毒使用UPX和PCPEC加壳。
其他名称:WORM_NETSKY.AF(趋势科技),NetSky.AF(F-Secure),W32.Netsky.AE(Computer Associates)
病毒类型:蠕虫
病毒长度:31,232字节(.exe格式),31,362字节(.zip)
受影响系统:Windows 2000,Windows 95,Windows 98,Windows Me,Windows NT,Windows XP
不受影响系统:DOS,Linux,Macintosh,Novell Netware,OS/2,UNIX,Windows 3.x
风险程度:低
破坏程度:低
感染能力:高
该病毒运行时:
1,将自拷贝为:%Windir%\Msnmsger.exe
%Windir%文件夹:Windows 95/98/Me系统中默认为:C:\Windows,Windows NT/2000系统中默认为:C:\Winnt,Windows XP系统中为:C:\Windows
2,显示消息提示框:
"File Corrupted replace this"
3,将自身拷贝到Windows文件夹下,命名如下:
AIDS!.zip
LINUSTOR.zip
agua!.zip
aqui.zip
banco!.zip
bingos!.zip
botao.zip
brasil!.zip
carros!.zip
circular.zip
contas!!.zip
criancas!.zip
dinheiro!!.zip
docs.zip
email.zip
festa!!.zip
flipe.zip
grana!!.zip
grana.zip
imposto.zip
jogo!.zip
lantrocidade.zip
loterias.zip
lulao!.zip
missao.zip
revista.zip
sampa!!.zip
sorteado!!.zip
tetas.zip
vaca.zip
vadias!.zip
vips!.zip
voce.zip
war3!.zip
4,在注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
添加键值:
"MsnMsgr" = "%Windir%\MsnMsgrs.exe -alev"
使病毒程序在Windows启动时自动运行
5,在如下文件扩展名的文件中找到邮件地址:
.SCS
.adb
.asp
.dbx
.doc
.eml
.htm
.html
.oft
.php
.pl
.rtf
.sht
.tbb
.txt
.uin
.vbs
.wab
6,使用自带的SMTP引擎发送自身到所有找到的邮件地址
7,病毒邮件有如下特征:
消息:消息为如下之一
Abra rapido isso!!!!
acrdito que em voce!!!
algo a mais
AMA!
AmaVoce
amor me liga
arquivo zipado PGP???
Boleto Pague
campanhadafome
encontro voce!
estou doente veja!!!
falea verdade!!!
ferias nos E.U.A
ganhe muita grana
gostaria disso e voce???
grana
Hackers do Brasil
Lembra?
me diz o queacha?
me veja peladinha
Medical Labs Exames!!!
meu telefone liga
olha que isso!!!
parabens!
PizzaVeneza!
Policia SP
pq nao me liga??
preenche ai ta bom
promocao de viajens de fim de ano
Proposta de emprego!!
receitas de bolo!!
retorna logo isso!!
reza de sao tome!!!!.
sinto voce!!
sua conta bancaria zerada
Sua Conta!!
Surto :(
te amo!
tudo sobre voce sabe
Vacina contra o HIV!!
ve ai logo ta
veja detalhes!!!.
veja o que tem no zip e me liga
voce passou :D!!!
附件:附件为如下之一
AIDS!
LINUSTOR
agua!
aqui
banco!
bingos!
botao
brasil!
carros!
circular
contas!!
criancas!
dinheiro!!
docs
email
festa!!
flipe
grana!!
grana
imposto
jogo!
lantrocidade
loterias
lulao!
missao
revista
sampa!!
sorteado!!
tetas
vaca
vadias!
vips!
voce
war3!
扩展名为如下之一:
.bat
.com
.pif
.scr
.zip
如果文件为.zip文件扩展名,zip文件内容则是蠕虫的拷贝。文件扩展名为单个或两个。如果文件是双扩展名,那第一个扩展名为如下之一:
.doc
.htm
.rtf
.txt
接下来的是:
.bat
.com
.pif
.scr
8,该蠕虫将自身拷贝到所有驱动器(C:---Z:)带有"share"或"sharing"字符串的文件夹中,使用如下文件名:
aninha gatinha!.zip.scr
barrio.scr
cafe!!.zip.scr
Canaval2004!.jpg.pif
Carnaval em Salvador!!.zip.scr
caspa.scr
celulares!!.zip.scr
clica ai logo meu.scr
comoserrico!.zip.scr
importante!!!!!.zip.scr
minhavida!.zip.exe
MulataDandoOcujpg.scr
multas.pif
paula!.scr
puteiros!!.scr
receitas de bolo!!.zip.scr
rede globo tv!.zip.scr
ResidentEvil2.zip.scr
rocha.scr
traficoemSP!.scr
vadias peladas!!.scr
vida!!.zip.scr
VivaNaBaia!.scr
vota!.zip.scr
9,尝试删除如下注册表键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
"Taskmon"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
"Taskmon"
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\
InProcServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
"Explorer"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
"Explorer"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
"KasperskyAv"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
"system."
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
RunServices\"system."
这些键值可能属于其他广泛散布的蠕虫……(黑吃黑,虫吃虫……)
清除方法:
升级最新病毒库,使用完全扫描,清除所有病毒程序文件(手工清除需要一个一个找前文提到的病毒文件……)。
点击开始运行,输入
regedit
按回车进入注册表编辑器
定位到如下注册表条目:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
在其右侧面板删除如下键值:
"MsnMsgr" = "%Windir%\MsnMsgrs.exe"