论坛: 病毒专区 标题: NETSKY蠕虫分析 复制本贴地址    
作者: 灵魂黑客 [bridex]    论坛用户   登录
江民公布“网络天空”蠕虫变种(I-Worm/NetSky.b)技术分析报告
            江民公布“网络天空”蠕虫变种(I-Worm/NetSky.b)技术分析报告



                  个人投资项目精选!! 1-6万元 投资好项目


                    病毒名称:I-Worm/NetSky.b


                    病毒长度:22,016 bytes


                    病毒类型:网络蠕虫


                    这是一个群发邮件的网络蠕虫病毒,它会利用自身的SMTP引擎通过向外发送带有病毒自身的电子邮件进行传播,其所发送的电子邮件的主题、内容还有附件都不是固定的。该网络蠕虫还会搜索所有的硬盘驱动器,一旦发现名称包含"Share"或者"Sharing"的文件夹,就会将病毒自身复制过去,等待传播的机会。


                    该病毒传播的过程如下:


                    1.显示一个对话框:"The file could not be opened!"(文件不能正常打开)


                    2.在Windows的安装目录下复制病毒自身文件services.exe,并在系统注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中添加


                    "service" = "indir\services.exe
                  -serv"键值,使生成的病毒文件可以在系统启动后自动运行。


                    3.删除注册表中的下列键值:


                    删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
                  和


                    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices中的"Taskmon"
                  和"Explorer"键值;


                    删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的"KasperskyAV"
                  和


                    "System."键值。


                    4.删除注册表的


                    HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32子键。


                    5.在所有硬盘驱动器以及所有映射驱动器上搜索。msg ,。oft ,。sht ,。dbx ,。tbb ,。adb
                  ,。doc ,。wab ,。asp ,。uin ,。rtf ,。vbs ,。html ,。htm ,。pl ,。php
                  ,。txt ,。eml类型的文件,从中搜索有效的Email地址作为传播目标。


                    6.利用自身的SMTP引擎向所有找到的Email地址发送带有病毒自身的电子邮件进行传播。其所发送的邮件来源是伪装的,并非发件地址所在的计算机感染此病毒。而且邮件的主题、内容和附件都是随机变化的,另用户极难识别。


                    7.该蠕虫病毒会搜索从C到Z的所有驱动器中名称包含
                  "Share"或者"Sharing"的文件夹,如果该文件夹不是在CD-ROM驱动器中,那么病毒会将自身的下列文件复制到该文件夹以及其子目录下:
                    doom2.doc.pif
                    sex sex sex sex.doc.exe
                    rfc compilation.doc.exe
                    dictionary.doc.exe
                    win longhorn.doc.exe
                    e.book.doc.exe
                    programming basics.doc.exe
                    how to hack.doc.exe
                    max payne 2.crack.exe
                    e-book.archive.doc.exe
                    virii.scr
                    nero.7.exe
                    eminem - lick my pussy.mp3.pif
                    cool screensaver.scr
                    serial.txt.exe
                    office_crack.exe
                    hardcore porn.jpg.exe
                    angels.pif
                    porno.scr
                    matrix.scr
                    photoshop 9 crack.exe
                    strippoker.exe
                    dolly_buster.jpg.pif
                    winxp_crack.exe
                    8.在Windows的安装路径下生成40个包含蠕虫自身的。zip格式的压缩文件,这些文件的文件名也是随机变化的。

地主 发表时间: 04-03-14 18:45

回复: z7 [skyzz]   论坛用户   登录
最近写病毒的越来越没有什么新意了  唉

B1层 发表时间: 04-03-15 10:53

论坛: 病毒专区

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号