概述
I-Worm/NetSky.r
病毒大小:28008位元組病毒類型:網路蠕蟲
危害級別:***
“網路天空”最新變種I-Worm/NetSky.r在感染計算機上的硬碟和網路映射驅動器上搜尋電子郵件地址,並利用其自帶的SMTP引擎通過傳送電子郵件傳播。帶毒電子郵件的主題、內容和附屬檔案名稱隨機變化,附屬檔案檔案以.exe, .pif, .scr, 或 .zip為擴展名,其中部分病毒郵件利用系統漏洞,在不打開郵件時也能傳播。病毒還可以通過P2P工具傳播。
特點
病毒具體技術特徵如下:
1.拷貝自身到%Windir%\SysMonXP.exe和下列檔案:
%Windir%\base64.tmp
%Windir%\firewalllogger.txt
%Windir%\zipo0.tmp
%Windir%\zipo1.tmp
%Windir%\zipo2.tmp
%Windir%\zipo3.tmp
%Windir%\zippedbase64.tmp
2.在註冊表啟動項HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run下創建:"SysMonXP"="%Windir%\sysmonxp.exe"
這樣病毒在Windows啟動時就得以運行。
3.刪除若干其他病毒添加註冊表項,其中包括I-Worm/BBEagle的多個變種
4.%Windir%\firewalllogger.txt實際上是個DLL檔案,病毒進程將調用這個動態程式庫完成下面的事情。
5.遍歷盤符從C到Z的所有硬碟及映射驅動器,在下列種類的檔案中搜尋合法電子郵件地址:
.ppt .xls .stm .ods .nch .mmf .mht .mdx .mbx
.cfg .xml .wsh .jsp .htm .pl .dbx .tbb .adb
.dhtm .cgi .shtm .uin .rtf .vbs .msg .oft .sht
.doc .wab .asp .php .txt .eml
6.病毒避免給若干反病毒公司和信息安全公司傳送病毒郵件。
