【分享】解W32.Netsky.C@mm

[月牙彎彎 10]

特性

W32.Netsky.C是一種會寄發大量郵件的病蟲，它會掃描硬碟與網路磁碟並使用自身的SMTP引擎將自己傳送給找到的電子郵件位址。此外，它還會搜尋磁碟C到Z，看看有沒有包含"Shar"的資料夾名稱，找到後將自身複製到這些資料夾中。

病毒會以有趣的主旨及偽裝成WORDPAD檔案，同時也會偽裝成壓縮檔，企圖逃避企業安全漏洞。另外，病毒也會透過網路芳鄰或P2P傳輸程式，搜尋分享資料夾中以Shar為名的目錄，然後再偽裝成分享資料，如CD燒錄程式、影像編輯軟體破解版或Office2003破解程式，一旦有人好奇開啟，就會中毒。

病蟲寄發的郵件主旨、內文與附件名稱會因人而異。

症狀

一旦W32.Netsky.C@mm開始執行，它會進行下列動作：

建立名為"[skyNet.cz]SystemsMutex"的Mutex。此Mutex只允許執行一個病蟲實例。

將自身複製為%Windir%\Winlogon.exe。

　

--------------------------------------------------------------------------------

注意：此處的%windir%是變數，病蟲會自行找到Windows安裝資料夾(預設為C:\Windows或C:\Winnt)並將自己複製過去。

--------------------------------------------------------------------------------

新增下列值：

"ICQNet"="%Windir%\winlogon.exe-stealth"

加入登錄鍵：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

因此，當您啟動Windows時，病蟲都會執行。

　

刪除這些值：

Sentry

OLE

service

au.exe

d3dupdate.exe

DELETEME

msgsvr32

Taskmon

Explorer

WindowsServicesHost

從登錄鍵：

　

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\

RunServices

刪除這些值：

"KasperskyAV"

"System"

從登錄鍵：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　

--------------------------------------------------------------------------------

注意：新增的登錄鍵"KasperskyAV"可能是由W32.Mimail.T@mm加入的。

--------------------------------------------------------------------------------

刪除登錄鍵：

HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\

InProcServer32

　

在具有下列副檔名的檔案裡找到電子郵件位址：

eml

txt

php

pl

htm

html

vbs

rtf

uin

asp

wab

doc

adb

tbb

dbx

sht

oft

msg

shtm

cgi

dhtm

　

搜尋磁碟C到Z，看看有沒有包含Share或Sharing等字眼的資料夾名稱。如果磁碟不是CD-ROM，蠕蟲找到後將自身複製到這些資料夾中。

MicrosoftWinXPCrack.exe

TeenPorn16.jpg.pif

AdobePremiere9.exe

AdobePhotoshop9full.exe

BestMatrixScreensaver.scr

PornoScreensaver.scr

DarkAngels.pif

XXXhardcorepic.jpg.exe

MicrosoftOffice2003Crack.exe

Serials.txt.exe

Screensaver.scr

Fullalbum.mp3.pif

AheadNero7.exe

ViriiSourcecode.scr

E-BookArchive.rtf.exe

Doom3Beta.exe

Howtohack.doc.exe

LearnProgramming.doc.exe

WinXPeBook.doc.exe

WinLonghornBeta.exe

DictionaryEnglish-France.doc.exe

RFCBasicsFullEdition.doc.exe

1000Sexandmore.rtf.exe

3DStudioMax3dsmax.exe

Keygen4allappz.exe

WindowsSourcecode.doc.exe

NortonAntivirus2004.exe

Gimp1.5FullwithKey.exe

Partitionsmagic9.0.exe

StarOffice8.exe

MagixVideoDeluxe4.exe

CloneDVD5.exe

MSServicePack5.exe

ACDSee9.exe

VisualStudioNetCrack.exe

Cracks&WarezArchive.exe

WinAmp12full.exe

DivX7.0final.exe

Opera.exe

IE58.1fullsetup.exe

Smashingthestack.rtf.exe

UleadKeygen.exe

LightwaveSEUpdate.exe

TheSims3crack.exe

　

--------------------------------------------------------------------------------

注意：這會導致W32.Netsky.C@mm通過共享檔案的網路、InstantMessaging客戶端、Windows共享資料夾，或者任何包含Shar字眼的資料夾傳播。

--------------------------------------------------------------------------------

使用自身的SMTP引擎將自己傳送至上述找到的電子郵件位址。受感染的電子郵件特徵請參閲本文最後的「額外的資訊」。

在%Windir%資料夾中建立40個.zip檔案，其中包含病蟲本身。這些檔案的名稱會符合上述的附件名稱。

別名

W32/Netsky.c@MM[McAfee],Win32.Netsky.C[ComputerAssociates],W32/Netsky-C[sophos],WORM_NETSKY.C[Trend]

詳細病毒說明(賽門鐵克)

http://www.symantec.com/region/tw/avcenter/vinfo/venc/data/[email protected]

移除工具

下載

FxNetsky.exe

詳細說明請參考http://www.symantec.com/region/tw/avcenter/vinfo/venc/data/[email protected]

(注意：在WindowsNT4.0、Windows2000或WindowsXP上，您必須要有管理員權限才可以執行此工具。)

[拓拔恭 10]

請教一下．．W32.Netsky.D@mm　這支病毒要如何解除呢？

[月牙彎彎 10]

這~~~~

等我中獎解完再告訴你好啦~~~

呵~~別打我

因為這是別人寄給我的

我也不太了@@

[萬無一施 10]

我也來找找看有迷有病毒哩！！︿︿＂