Worm.NetSky.y

通過網路傳送電子郵件高速傳播的一種蠕蟲病毒,病毒別名為Win32.Netsky.X Computer Associates W32/NetSky.X@mm F-Secure W32/Netsky.x@MM McAfee W32/Netsky.,也就是網路天空變種y。

概要

病毒別名:Win32.Netsky.X 【Computer Associates】 W32/NetSky.X@mm 【F-Secure】 W32/Netsky.x@MM 【McAfee】 W32/Netsky.
處理時間:
威脅級別:★★★
中文名稱:
病毒類型:蠕蟲
影響系統:Win9xWinMeWinNTWin2000WinXPWin2003
病毒行為:
編寫工具:VC6.0
傳染條件:通過網路傳送電子郵件高速傳播
發作條件:
系統修改:
A、在註冊表主鍵:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
下添加如下鍵值:
"FirewallSvr"="%Windir%FirewallSvr.exe"
B、拷貝自己到系統安裝目錄:
%SystemRoot%FirewallSvr.exe
釋放一個它本身的MIME編碼的拷貝至系統安裝目錄:
%SystemRoot%fuck_you_bagle.txt
C、創建一個名為"____--->>>>U<<<<--____" 的互斥體,只允許起一個進程運行。
發作現象:
特別說明:
A、監聽TCP 82連線埠,等待攻擊者傳送一個執行檔。一旦檔案下載完畢,該蠕蟲就會主動運行之。
B、如果系統時間在2004年4月28日至2004年4月30日之間,該蠕蟲就會對以下網址發動DoS攻擊:
www.nibis.de
www.medinfo.ufl.edu
www.educa.ch
C、會在C至Z盤(包括光碟機)中查找一下後綴的檔案中包含的Email地址:
.eml
.txt
.php
.cfg
.mbx
.mdx
.asp
.wab
.doc
.vbs
.rtf
.uin
.shtm
.cgi
.dhtm
.abd
.TBB
.dbx
.pl
.htm
.html
.sht
.oft
.msg
.ods
.stm
.xls
.jsp
.wsh
.xml
.mht
.mmf
.nch
.ppt
D、通過其自帶的SMTP引擎傳送一個它自身的拷貝到[email protected],以及所有它搜尋到的Email地址。其傳送的郵件具有以下特徵:
它將會檢查這些Email地址的頂級域名,並使用該國的語言來傳送郵件。
比如,如果郵件地址為[email protected],那么它將會採用義大利語傳送郵件:
主題:Re: documento
正文: Legga prego il documento.
附屬檔案: documento.pif
其他基於頂級域名的郵件可能為:
如果頂級域名為 .de:
主題: Re: dokument
正文: Bitte lesen Sie das Dokument.
附屬檔案: dokument.pif
如果頂級域名為 .fr:
主題: Re: document
正文: Veuillez lire le document.
附屬檔案: document.pif
如果頂級域名為 .it:
主題: Re: documento
正文: Legga prego il documento.
附屬檔案: documento.pif
如果頂級域名為 .pt:
主題: Re: original
正文: Leia por favor o original.
附屬檔案: original.pif
如果頂級域名為 .no:
主題: Re: dokumentet
正文: Behage lese dokumentet.
附屬檔案: dokumentet.pif
如果頂級域名為 .pl:
主題: Re: udokumentowac
正文: Podobac sie przeczytac ten udokumentowac.
附屬檔案: udokumentowac.pif
如果頂級域名為 .fi:
主題: Re: dokumentoida
正文: Haluta kuulua dokumentoida.
附屬檔案: dokumentoida.pif
如果頂級域名為 .se:
主題: Re: dokumenten
正文: Behaga l?sa dokumenten.
附屬檔案: dokumenten.pif
如果頂級域名為 .tc:
主題: Re: belge
正文: mutlu etmek okumak belgili tanimlik belge.
附屬檔案: belge.pif
其他情況下使用以下字元串:
主題: Re: document
正文: Please read the document.
附屬檔案: document.pif
E、該蠕蟲會利用默認的DNS來轉換Email域名的IP,如果不成功,就會利用以下的DNS伺服器來進行解析:
2185.252.73
2185.253.70
2185.252.136
194.25.2.129
194.25.2.130
195.20.224.234
25.97.137
194.25.2.129
193.193.144.12
27.128.162
27.128.165
193.193.158.10
194.25.2.131
194.25.2.132
194.25.2.133
194.25.2.134
193.141.40.42
145.253.2.171
193.189.244.205
2191.74.19
151.189.35
195.185.185.195
244.160.8

相關條目

計算機 木馬 病毒 網路 軟體 系統

相關詞條

相關搜尋

熱門詞條

聯絡我們