Board logo

标题: [病毒查杀] Winlogon.exe 病毒 Worm_Netsky.D [打印本页]

作者: shillan    时间: 2005-12-23 21:21     标题: Winlogon.exe 病毒 Worm_Netsky.D

    国家计算机病毒应急处理中心通过对互联网的监测,于2004年3月1日发现异常的病毒的邮件,经分析证实该病毒为“网络天空”病毒又一个变种,同时,该变种的一些特征与worm_netsky.c相同,如windows文件夹下生成的病毒文件名称,修改注册表键值已达到自启动的目的,以及删除的部分注册表键值。我们将该病毒命名为worm_netsky.d。该病毒已经在美国、日本、法国等传播。并且已经在我国出现。

    该变种并没有什么新的技术和功能,只是在病毒邮件的主题、内容和附件上发生了变化,并且病毒附件需要点击运行病毒才能发作。所以对于用户来讲最重要的还是要立即升级杀毒软件,启动“实时监控”和“邮件监控”功能,同时在接收电子邮件时提高警惕,不要轻易打开邮件的附件。

    该病毒通过邮件传播的蠕虫病毒,病毒邮件的发信人、主题、内容和附件都是不固定的,附件为一个.pif文件。当病毒运行时,会生成病毒文件、修改和删除注册表项。

 

病毒名称: worm_netsky.d(“网络天空”病毒变种)

其它英文命名:w32/netsky.d@mm (mcafee)

w32/netsky.d.worm (panda)

worm_netsky.d (trend micro)

i-worm.netsky.d (kaspersky)

win32.netsky.d (computer associates)

w32/netsky-d (sophos)

“网络天空变种d”(worm.netsky.d) (金山)

感染系统:win9x/winme/winnt/win2000/winxp/win2003

病毒长度:17,424字节

病毒特征:

病毒使用upx压缩,通过电子邮件进行传播。运行后,在windows目录下生成自身的拷贝,修改注册表键值。病毒的拷贝有两个扩展名,使用word的图标,并在共享文件夹中生成自身拷贝。

1、生成病毒文件

病毒运行后,在%windows%目录下生成自身的拷贝,名称为winlogon.exe。

(其中,%windows% 是windows的默认文件夹,通常是 c:或 c:)

2、修改注册表项

病毒创建注册表项,使得自身能够在系统启动时自动运行,在

hkey_local_machine下创建

icq net = "%windows%.exe -stealth"

3、删除注册表中的键值

为了达到影响系统运行的目的,会试图删除多个重要的注册表键值。

病毒在

hkey_local_machine和

hkey_current_user下寻找并删除下列键值:

explorer

kasperskyav

taskmon

windows services host

在hkey_local_machine下删除下列键值:

system.

msgsvr32

delete me

service

sentry

在hkey_current_user下删除下列键值:

d3dupdate.exe

au.exe

ole

在hkey_local_machine下删除下列键值:

system.

3、通过电子邮件进行传播

病毒在被感染用户的系统内搜索以下扩展名的文件,找到电子邮件地址,并使用的自带的smtp向这些地址发送带毒的电子邮件。

.dhtm

.cgi

.shtm

.msg

.oft

.sht

.dbx

.tbb

.adb

.doc

.wab

.asp

.uin

.rtf

.vbs

.html

.htm

.pl

.php

.txt

.eml

病毒发送的带毒电子邮件格式如下:

发件人:(可能不是真实的邮件地址,具有欺骗性的地址)

主题:(为下列之一)

re: your website

re: your product

re: your letter

re: your archive

re: your text

re: your bill

re: your details

re: my details

re: word file

re: excel file

re: details

re: approved

re: your software

re: your music

re: here

re: re: re: your document

re: hello

re: hi

re: re: message

re: your picture

re: here is the document

re: your document

re: thanks!

re: re: thanks!

re: re: document

re: document

内容:(为下列之一)

your file is attached.

please read the attached file.

please have a look at the attached file.

see the attached file for details.

here is the file.

your document is attached

附件:(扩展名为.pif的文件,名称为下列之一)

your_website.pif

your_product.pif

your_letter.pif

your_archive.pif

your_text.pif

your_bill.pif

your_details.pif

document_word.pif

document_excel.pif

my_details.pif

all_document.pif

application.pif

mp3music.pif

yours.pif

document_4351.pif

your_file.pif

message_details.pif

your_picture.pif

document_full.pif

message_part2.pif

document.pif

your_document.pif

4、其它(在共享文件夹下生成病毒文件)

病毒还会尝试连接如下的外部dns:

145.253.2.171

151.189.13.35

193.141.40.42

193.189.244.205

193.193.144.12

193.193.158.10

194.25.2.129

194.25.2.129

194.25.2.130

194.25.2.131

194.25.2.132

194.25.2.133

194.25.2.134

195.185.185.195

195.20.224.234

212.185.252.136

212.185.252.73

212.185.253.70

212.44.160.8

212.7.128.162

212.7.128.165

213.191.74.19

217.5.97.137

62.155.255.16

手工清除该病毒的相关操作:

1、终止病毒进程

在windows 9x/me系统,同时按下ctrl+alt+delete,在windows nt/2000/xp系统中,同时按下ctrl+shift+esc,选择“任务管理器--〉进程”,选中正在运行的进程“winlogon.exe”,并终止其运行。

2、注册表的恢复

点击“开始--〉运行”,输入regedit,运行注册表编辑器,依次双击左侧的hkey_local_machine>software>microsoft>windows>currentversion>run ,并删除面板右侧的icq net = "%windows%.exe -stealth"

3、删除病毒释放的文件

点击“开始--〉查找--〉文件和文件夹”,查找文件“winlogon.exe”,并将找到的文件删除。



4、运行杀毒软件,对系统进行全面的病毒查杀






欢迎光临 逐梦论坛 (http://temp2023.zhumeng.org/) Powered by Discuz! 7.2