概述
I-Worm/NetSky.q
病毒長度:29,568 bytes
病毒類型:網路蠕蟲影響平台:Win9x/Me/2000/2003/XP/NT
I-Worm/NetSky.q是“網路天空”網路蠕蟲的最近變種,用FSG壓縮過,它在感染計算機上的硬碟和網路映射驅動器上搜尋電子郵件地址,利用自帶的SMTP引擎通過傳送郵件進行傳播,也可能會通過拷貝自身到共享軟體進行傳播。
傳播特點
其傳播過程及特徵如下:
1.在安裝目錄下:拷貝自身為FVProtect.exe;置入檔案userconfig9x.dll,裝載後運行;生成base64.tmp、zip1.tmp、zip2.tmp、zipped.tmp等檔案
2.修改註冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加"Norton Antivirus AV"="%Windir%\FVProtect.exe"
刪除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的Explorer,system.,msgsvr32,winupd.exe,direct.exe,
jijbl ,service,Sentry等鍵值
刪除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices下的systme和video 鍵值
刪除HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的Explorer,au.exe,direct.exe,d3dupdate.exe,OLE
gouday.exe,rate.exe,Taskmon,Windows Services Host,sysmon.exe ,
srate.exe,ssate.exe ,winupd.exe等鍵值
刪除HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\PINF子鍵
刪除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WksPatch子鍵
刪除HKEY_CLASSES_ROOT\CLSID\CLSID\\InProcServer32子鍵
3.掃描硬碟驅動器下包含下列字元串的資料夾:bear,donkey,download,ftp,htdocs,
http,icq,kazaa,lime,morpheus,mule,my,shared,folder,
shar,shared,iles,upload。蠕蟲被複製到這些資料夾下。
4.利用其自身的SMTP引擎向搜尋到的電子郵件地址傳送帶毒郵件。信件特徵如下:
發信人:<偽造>
主題:<不一定>
附屬檔案:以.pif,.exe或.zip為擴展名的檔案
此外蠕蟲會自動避免向國內外防毒廠商傳送郵件
