I-Worm/NetSky.k
I-Worm/NetSky.k是I-Worm/NetSky.d以來的又一個傳播比較廣的“網路天空”病毒變種。屬於群發郵件的網路蠕蟲類病毒,它可以利用自身的SMTP引擎通過電子郵件向外傳送病毒自身進行傳播,並遍歷驅動器中資料夾並將病毒自身複製到這些資料夾中。此病毒的傳播過程如下:
1.將病毒自身複製到Windows的安裝路徑下(默認為Windows或者Winnt),檔案名稱為Winlogon.exe。
2.在系統註冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加
"ICQ Net" = "%Windir%\winlogon.exe -stealth"鍵值,以使生成的病毒體檔案可以與Windows系統一同啟動,
3.刪除註冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下的鍵值
"Taskmon" "Explorer" "KasperskyAv" "system." "msgsvr32"
"DELETEME" "service""Sentry" "Windows Services Host"
4.刪除下列註冊表鍵值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的System.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的"Taskmon" "Explorer" "KasperskyAv" "d3dupdate.exe" "au.exe"
"OLE" "Windows ervices Host"
5.刪除下列註冊表子鍵:
HKEY_CLASSES_ROOT\CLSID\\InProcServer32
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\PINF
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WksPatch
6.在所有硬碟驅動器以及映射驅動器中的下列檔案類型中搜尋有效的Email地址,作為傳播對象:
.dhtm .cgi .shtm .msg .oft .sht .dbx .tbb .adb
.doc .wab .asp .uin .rtf .vbs .html .htm .pl .php
.txt .eml
7.利用自身的SMTP引擎向所有找到的Email地址傳送帶有病毒的電子郵件,每個地址將傳送一次。病毒試圖得到本地DNS(通過調用API函式),如果得到則針對收信人進行MX查詢,否則使用病毒自帶的DNS.
8.病毒還會自動的避免向各個防毒廠商傳送所帶病毒郵件.
9.如果被感染計算機的系統時間是2004年3月2日的上午6點和9點之間,病毒會使計算機的喇叭不停地發出響聲。
10.病毒的郵件主題、內容和附屬檔案都是可變的,其附屬檔案為.pif檔案。
