“网络天空”变种T(Worm.Netsky.T)分析报告

发布: 2007-7-02 21:50 | 作者: admin | 来源: | 查看: 13次 | 进入软件测试论坛讨论

　　病毒名称: Worm.NetSky.t
　　中文名称: 网络天空变种T
　　威胁级别:
　　病毒别名: WORM_NETSKY.T [Trend]
　　　　　　　 W32/Netsky.t@MM [McAfee]
　　　　　　　 W32.Netsky.T@mm [Symantec]
　　　　　　　 W32/Netsky-T [Sophos]
　　　　　　　 Win32.Netsky.T [Computer Associates]
　　　　　　　 I-Worm.Netsky.t [Kaspersky]
　　病毒类型: 邮件蠕虫、后门
　　受影响系统:Win9x/Win2000/WinXp/Windows Server 2003
　　能处理的毒霸版本: 2004.04.08

　破坏方式：

　　· 在感染的系统中收集大量邮件地址，使自己的SMTP引擎发送大量病毒垃圾邮件；
　　· 开后门，可自动下载并执行可执行程序，使系统再感染其它病毒；
　　· 对指定网络发起DoS（拒绝服务）式攻周。

　系统修改：（点击查看详情）

1、创建以下互诉体，确保病毒只有一个进程在运行
Protect_USUkUyUnUeUtU_Mutex
SyncMutex_USUkUyUnUeUtU

2、自我复制到系统安装目录：
%Windir%\EasyAV.exe
（其中，%Windir%在Windows 95/98/Me下为C:\Windows，在Windows NT/2000下为C:\Winnt，在Windows XP下为 C:\Windows）

3、病毒会在系统安装目录释放以下文件：
UINMZERTINMDS.OPM 该文件是病毒编码后的复本

4、添加以下键值
"EasyAV"="%Windir%\EasyAV.exe"
到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
以便病毒可随机自启动

5、病毒在6789端口开后门，如果有攻击者利用该端口发送一个可执行文件到病毒感染的系统，病毒会将该文件保存为一个随机文件名的EXE文件，并立即执行它。可使系统感染其它类型的病毒

6、病毒在2004年4月14日到2004年4月23日对以下网址时行DoS攻击
www.cracks.am
www.emule.de
www.kazaa.com
www.freemule.net
www.keygen.us

7、病毒扫描驱动器C到Z，并从具有以下后缀名的文件中收集邮件地址：
.eml 、.txt 、.php 、.asp 、.wab 、.doc 、.sht 、.oft 、.msg 、.vbs 、.rtf
.uin 、.shtm 、.cgi 、.dhtm 、.adb 、.tbb 、.dbx 、.pl 、.htm 、.html 、.jsp
.wsh 、.xml 、.cfg 、.mbx 、.mdx 、.mht 、.mmf 、.nch 、.ods 、.stm 、.xls 、.ppt

8、如果系统日期不为2004年4月，或日小于14日或大于16日病毒会尝试使用自己的SMTP发信引擎利用搜索到的邮件地址发送病毒邮件；

以下是邮件特征：

发件人: <从收集的邮件地址中选择>

主题: (从以下选择任意字符串)
Hello!
Hi!
Re: Important
Important
Re: My details
My details
Re: Your information
Your information
Re: Your details
Your details
Re: Your document
Your document
Re: Request
Request
Re: Thanks you!
Thank you!
Re: Approved
Approved
Re: Hello
Re: Hi
Hello
Approved file
List
Corrected document
Archive
Abuse list
Presentation document
Instructions
Details
Improved document
Note
Message
Contact list
Number list
File
Secound document
Improved file
User list
Textfile
New document
Text
Information
Info
Word document
Excel document
Powerpoint document
Detailed document
Homepage
Letter
Mail
Document
Old document
Approved document
Movie document
Picture document
Summary
Description
Requested document
Notice
Bill
Answer
Release
Final version
Diggest
Important document
Order
Photo document
Personal message
Phone number
E-mail
Icq number
Report
Story
Concept
Developement
Sample
Postcard
Account

附件名：
<随机名>[随机数字].pif
<随机名>可能为以下字符串之一
approved_file
list
corrected_document
archive
abuse_list
presentation_document
instructions
details
improved_document
note
message
contact_list
number_list
file
secound_document
improved_file
user_list
textfile
new_document
text
information
info
word_document
excel_document
powerpoint_document
detailed_document
homepage
letter
mail
document
old_document
approved_document
movie_document
picture_document
summary
description
requested_document
notice
bill
answer
release
final_version
diggest
important_document
order
photo_document
personal_message
phone_number
e-mail
icq_number
report
story
concept
developement
sample
postcard
account

内容：

第一部份可能为以下字符串之一
Hi!
Hello!

第二部份可能为以下字符串之一
Note that I have attached your document.
My <附件的文件名>.
The <附件的文件名>.
I have spent much time for the <附件的文件名>.
I have spent much time for your document.
Your <附件的文件名>.
Please notice the attached <附件的文件名>.
Please notice the attached document.
Please read quickly.
For more details see the attached document.
For more information see the attached document.
Approved, here is the document.
I have found the <附件的文件名>.
My <附件的文件名> is attached.
Your <附件的文件名> is attached.
Please, <附件的文件名>.
Your file is attached to this mail.
Please read the attached document.
Please have a look at the attached document.
See the document for details.
Here is the document.
The requested <附件的文件名> is attached!
I have sent the <附件的文件名>.
Please see the <附件的文件名>.
The <附件的文件名> is attached.
Here is the <附件的文件名>.
Please have a look at the <附件的文件名>.
Please read the <附件的文件名>.

第三部份可能为以下字符串之一
Yours sincerely
Thank you
Thanks

　

　　· 已经于4月08日对该病毒进行了应急处理，请升级最新版可完全查该病毒；

　　· 在收取邮件和在线聊天时不要轻易打开陌生人传来的文件，如果有必要打开，请使用最新病毒
　　　库的反病毒软件检测后再打开；在没有升级IE最新补丁的情况下，不要轻易点击好友发来的网
　　　址；

　　· 手工解决方案
　
　　　首先，若系统为WinMe，则请先关闭系统还原功能；
　　　（毒霸论坛：反病毒可能需要用到的方法及操作 > ）

　 对于系统是Win9x/WinMe：

　　步骤一，删除病毒主程序
　　请使用干净的系统软盘引导系统到纯DOS模式，然后转到系统目录（默认的系统目录为
　　C:\windows），分别输入以下命令，以便删除病毒程序：
　　C:\windows\>del EasyAV.exe
　　完毕后，取出系统软盘，重新引导到Windows系统。
　　如果手中没有系统软件盘，可以在引导系统时按“F5”键也可进入纯DOS模式。

　　步骤二，清除病毒在注册表里添加的项
　　打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter；
　　在左边的面板中, 双击（按箭头顺序查找，找到后双击）：
　　HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
　　在右边的面板中, 找到并删除如下项目：
　　"EasyAV"="%Windir%\EasyAV.exe"
　　关闭注册表编辑器。

　 对于系统是Windows NT, Windows 2000, Windows XP, Windows 2003 Sever：

　　步骤一，使用进程序管里器结束病毒进程
　　右键单击任务栏，弹出菜单，选择“任务管理器”，调出“Windows任务管理器”窗口。在任
　　务管理器中，单击“进程”标签，在例表栏内找到病毒进程“EasyAV.exe”，单击“结束进
　　程按钮 ”，点击“是”，结束病毒进程，然后关闭“Windows任务管理器”；

　　步骤二，查找并删除病毒程序
　　通过“我的电脑”或“资源管理器”进入系统目录（\Winnt或\windows)，
　　找到文件“EasyAV.exe”将它删除。注意清空回收站内的内容；

　　步骤三，清除病毒在注册表里添加的项
　　打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter；
　　在左边的面板中, 双击（按箭头顺序查找，找到后双击）：
　　HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
　　在右边的面板中, 找到并删除如下项目：
　　"EasyAV"="%Windir%\EasyAV.exe"
　　关闭注册表编辑器.

,