[病毒查杀] Winlogon.exe 病毒 Worm_Netsky.D 主题, 技术

    国家计算机病毒应急处理中心通过对互联网的监测，于2004年3月1日发现异常的病毒的邮件，经分析证实该病毒为“网络天空”病毒又一个变种，同时，该变种的一些特征与worm_netsky.c相同，如windows文件夹下生成的病毒文件名称，修改注册表键值已达到自启动的目的，以及删除的部分注册表键值。我们将该病毒命名为worm_netsky.d。该病毒已经在美国、日本、法国等传播。并且已经在我国出现。

    该变种并没有什么新的技术和功能，只是在病毒邮件的主题、内容和附件上发生了变化，并且病毒附件需要点击运行病毒才能发作。所以对于用户来讲最重要的还是要立即升级杀毒软件，启动“实时监控”和“邮件监控”功能，同时在接收电子邮件时提高警惕，不要轻易打开邮件的附件。

    该病毒通过邮件传播的蠕虫病毒，病毒邮件的发信人、主题、内容和附件都是不固定的，附件为一个.pif文件。当病毒运行时，会生成病毒文件、修改和删除注册表项。

　

病毒名称： worm_netsky.d（“网络天空”病毒变种）

其它英文命名：w32/netsky.d@mm （mcafee）

w32/netsky.d.worm （panda）

worm_netsky.d （trend micro）

i-worm.netsky.d （kaspersky）

win32.netsky.d （computer associates）

w32/netsky-d （sophos）

“网络天空变种d”(worm.netsky.d) （金山）

感染系统：win9x/winme/winnt/win2000/winxp/win2003

病毒长度：17,424字节

病毒特征：

病毒使用upx压缩，通过电子邮件进行传播。运行后，在windows目录下生成自身的拷贝，修改注册表键值。病毒的拷贝有两个扩展名，使用word的图标，并在共享文件夹中生成自身拷贝。

1、生成病毒文件

病毒运行后，在%windows％目录下生成自身的拷贝，名称为winlogon.exe。

（其中，%windows% 是windows的默认文件夹，通常是 c:或 c:）

2、修改注册表项

病毒创建注册表项，使得自身能够在系统启动时自动运行，在

hkey_local_machine下创建

icq net = "%windows%.exe -stealth"

3、删除注册表中的键值

为了达到影响系统运行的目的，会试图删除多个重要的注册表键值。

病毒在

hkey_local_machine和

hkey_current_user下寻找并删除下列键值：

explorer

kasperskyav

taskmon

windows services host

在hkey_local_machine下删除下列键值：

system.

msgsvr32

delete me

service

sentry

在hkey_current_user下删除下列键值：

d3dupdate.exe

au.exe

ole

在hkey_local_machine下删除下列键值：

system.

3、通过电子邮件进行传播

病毒在被感染用户的系统内搜索以下扩展名的文件，找到电子邮件地址，并使用的自带的smtp向这些地址发送带毒的电子邮件。

.dhtm

.cgi

.shtm

.msg

.oft

.sht

.dbx

.tbb

.adb

.doc

.wab

.asp

.uin

.rtf

.vbs

.html

.htm

.pl

.php

.txt

.eml

病毒发送的带毒电子邮件格式如下：

发件人：（可能不是真实的邮件地址，具有欺骗性的地址）

主题：（为下列之一）

re: your website

re: your product

re: your letter

re: your archive

re: your text

re: your bill

re: your details

re: my details

re: word file

re: excel file

re: details

re: approved

re: your software

re: your music

re: here

re: re: re: your document

re: hello

re: hi

re: re: message

re: your picture

re: here is the document

re: your document

re: thanks!

re: re: thanks!

re: re: document

re: document

内容：（为下列之一）

your file is attached.

please read the attached file.

please have a look at the attached file.

see the attached file for details.

here is the file.

your document is attached

附件：（扩展名为.pif的文件，名称为下列之一）

your_website.pif

your_product.pif

your_letter.pif

your_archive.pif

your_text.pif

your_bill.pif

your_details.pif

document_word.pif

document_excel.pif

my_details.pif

all_document.pif

application.pif

mp3music.pif

yours.pif

document_4351.pif

your_file.pif

message_details.pif

your_picture.pif

document_full.pif

message_part2.pif

document.pif

your_document.pif

4、其它（在共享文件夹下生成病毒文件）

病毒还会尝试连接如下的外部dns：

145.253.2.171

151.189.13.35

193.141.40.42

193.189.244.205

193.193.144.12

193.193.158.10

194.25.2.129

194.25.2.129

194.25.2.130

194.25.2.131

194.25.2.132

194.25.2.133

194.25.2.134

195.185.185.195

195.20.224.234

212.185.252.136

212.185.252.73

212.185.253.70

212.44.160.8

212.7.128.162

212.7.128.165

213.191.74.19

217.5.97.137

62.155.255.16

手工清除该病毒的相关操作：

1、终止病毒进程

在windows 9x/me系统，同时按下ctrl+alt+delete，在windows nt/2000/xp系统中，同时按下ctrl+shift+esc，选择“任务管理器--〉进程”，选中正在运行的进程“winlogon.exe”，并终止其运行。

2、注册表的恢复

点击“开始--〉运行”，输入regedit,运行注册表编辑器，依次双击左侧的hkey_local_machine>software>microsoft>windows>currentversion>run ，并删除面板右侧的icq net = "%windows%.exe -stealth"

3、删除病毒释放的文件

点击“开始--〉查找--〉文件和文件夹”，查找文件“winlogon.exe”，并将找到的文件删除。

4、运行杀毒软件，对系统进行全面的病毒查杀