论坛: 病毒专区 标题: 手工查杀“网络天空”新变种Worm_Netsky.P(转) 复制本贴地址    
作者: iamzhaokun [iamzhaokun]       登录
国家计算机病毒应急处理中心通过对互联网的监测,发现"网络天空"出现又一变种。该变种通过邮件和共享文件夹进行传播,病毒驻留内存,修改注册表,在系统目录下创建文件,使用upx压缩。其在本地搜索邮箱地址时,排除了安全厂商及相关机构的邮箱地址,避免过早的被这些企业、机构得到样本。发送的附件格式为"附件名.txt(或 .doc)<很多连续的空格〉.exe(或.pif .scr .zip)",这样使用户误以为附件是文档文件。

病毒名称:Worm_Netsky.P("网络天空"病毒变种)
其它英文命名:网络天空变种P    (Worm.NetSky.P)  (金山)
              Worm.NetSky.m    (瑞星)
              I-Worm/NetSky.p    (江民)
              W32/Netsky.p@MM  (McAfee) 
              Win32.Netsky.P    (Computer Associates),
              NetSky.P    (F-Secure),
              W32/Netsky.P.worm    (Panda),
              W32/Netsky-P    (Sophos),
              WORM_NETSKY.P    (Trend)
              W32.Netsky.P@mm    (Symantec)
             
感染系统:Windows 2000, Windows 95, Windows 98, Windows Me,
          Windows NT,Windows Server 2003, Windows XP
病毒长度:29,568字节
病毒特征:
 
    这种新的NETSKY变种通过邮件和共享文件夹进行传播,病毒驻留内存,修改注册表,在系统目录下创建文件,使用UPX压缩。

1、生成病毒文件

    在%Windows%目录下生成FVPROTECT.EXE,USERCONFIG9X.DLL。
(其中,%Windows% 是Windows的默认文件夹,通常是 C:\Windows
或 C:\WINNT)

2、修改注册表项

    病毒创建注册表项,使得自身能够在系统启动时自动运行,在
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下创建
Norton Antivirus AV = "%Windows%\FVProtect.exe"

3、病毒的传播
 
    病毒通过电子邮件和网络共享传播(详细分析见附录一、二)

4、病毒运行

    当病毒发出的邮件被阅读的时候,它利用包含不正确的MIME头漏洞的IE中已知的漏洞执行病毒。

手工清除该病毒的相关操作:

1、终止病毒进程

    在Windows 9x/ME系统,同时按下CTRL+ALT+DELETE,在Windows NT/2000/XP系统中,同时按下CTRL+SHIFT+ESC,选择"任务管理器--〉进程",选中正在运行的进程"FVPROTECT.EXE",并终止其运行。(我先用诺顿杀了毒,没杀完,但也没找到这个进程,不管他了)

2、注册表的恢复

    点击"开始--〉运行",输入regedit,运行注册表编辑器,依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ,并删除面板右侧的Norton Antivirus AV = "%Windows%\FVProtect.exe"

3、删除病毒释放的文件

    点击"开始--〉查找--〉文件和文件夹",查找文件"FVPROTECT.EXE,USERCONFIG9X.DLL",并将找到的文件删除。

4、运行杀毒软件,对系统进行全面的病毒查杀

用以上方法,我终于搞定病毒了!

地主 发表时间: 04-06-02 23:49

回复: apolo [apolo]   论坛用户   登录
不错,很及时。我前天也碰到了这个病毒。我装了symantec,这个病毒被它隔离了,只是令我困惑的是不知道隔离到什么位置了。现在找也再找不到了。

B1层 发表时间: 04-06-03 11:07

回复: BrideX [bridex]   论坛用户   登录
哈,这种蠕虫。。。

估计SPANT现在的版本可以通杀。

记的安装补丁。

B2层 发表时间: 04-06-03 22:29

回复: christ_ns [christ_ns]   论坛用户   登录
谢谢!!!学到不少东西

B3层 发表时间: 04-06-03 23:36

回复: hkcc [hkcc]   论坛用户   登录
注册表是什么啊?

B4层 发表时间: 04-06-04 17:18

论坛: 病毒专区

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号