首页 | 邮件资讯 | 技术教程 | 解决方案 | 产品评测 | 邮件人才 | 邮件博客 | 邮件系统论坛 | 软件下载 | 邮件周刊 | 热点专题 | 工具
网络技术 | 操作系统 | 邮件系统 | 客户端 | 电子邮箱 | 反垃圾邮件 | 邮件安全 | 邮件营销 | 移动电邮 | 邮件软件下载 | 电子书下载

邮件网络安全

系统安全 | 邮件软件漏洞 | 攻防技术 | 安全基础 | 病毒公告 | 病毒查杀 | Forefront/TMG/ISA | 防火墙 | 数字签名 |
首页 > 邮件网络安全 > 病毒查杀 > “网络天空”变种T(Worm.Netsky.T)分析报告 > 正文

“网络天空”变种T(Worm.Netsky.T)分析报告

出处:金山毒霸安全资讯网 作者:金山毒霸安全资讯网 时间:2004-4-8 22:05:00
病毒信息:

  病毒名称: Worm.NetSky.t
  中文名称: 网络天空变种T
  威胁级别: 3B
  病毒别名: WORM_NETSKY.T [Trend]
        W32/Netsky.t@MM [McAfee]
        W32.Netsky.T@mm [Symantec]
        W32/Netsky-T [Sophos]
        Win32.Netsky.T [Computer Associates]
        I-Worm.Netsky.t [Kaspersky]
  病毒类型: 邮件蠕虫、后门
  受影响系统:
Win9x/Win2000/WinXp/Windows Server 2003
  能处理的毒霸版本: 2004.04.08

 破坏方式:

  · 在感染的系统中收集大量邮件地址,使自己的SMTP引擎发送大量病毒垃圾邮件;
  · 开后门,可自动下载并执行可执行程序,使系统再感染其它病毒;
  · 对指定网络发起DoS(拒绝服务)式攻周。

 系统修改:(点击查看详情)


1、创建以下互诉体,确保病毒只有一个进程在运行
Protect_USUkUyUnUeUtU_Mutex
SyncMutex_USUkUyUnUeUtU

2、自我复制到系统安装目录:
%Windir%\EasyAV.exe
(其中,%Windir%在Windows 95/98/Me下为C:\Windows,在Windows NT/2000下为C:\Winnt,在Windows XP下为 C:\Windows)

3、病毒会在系统安装目录释放以下文件:
UINMZERTINMDS.OPM 该文件是病毒编码后的复本

4、添加以下键值
"EasyAV"="%Windir%\EasyAV.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
以便病毒可随机自启动

5、病毒在6789端口开后门,如果有攻击者利用该端口发送一个可执行文件到病毒感染的系统,病毒会将该文件保存为一个随机文件名的EXE文件,并立即执行它。可使系统感染其它类型的病毒

6、病毒在2004年4月14日到2004年4月23日对以下网址时行DoS攻击
www.cracks.am
www.emule.de
www.kazaa.com
www.freemule.net
www.keygen.us

7、病毒扫描驱动器C到Z,并从具有以下后缀名的文件中收集邮件地址:
.eml 、.txt 、.php 、.asp 、.wab 、.doc 、.sht 、.oft 、.msg 、.vbs 、.rtf
.uin 、.shtm 、.cgi 、.dhtm 、.adb 、.tbb 、.dbx 、.pl 、.htm 、.html 、.jsp
.wsh 、.xml 、.cfg 、.mbx 、.mdx 、.mht 、.mmf 、.nch 、.ods 、.stm 、.xls 、.ppt

8、如果系统日期不为2004年4月,或日小于14日或大于16日病毒会尝试使用自己的SMTP发信引擎利用搜索到的邮件地址发送病毒邮件;

以下是邮件特征:

发件人: <从收集的邮件地址中选择>

主题: (从以下选择任意字符串)
Hello!
Hi!
Re: Important
Important
Re: My details
My details
Re: Your information
Your information
Re: Your details
Your details
Re: Your document
Your document
Re: Request
Request
Re: Thanks you!
Thank you!
Re: Approved
Approved
Re: Hello
Re: Hi
Hello
Approved file
List
Corrected document
Archive
Abuse list
Presentation document
Instructions
Details
Improved document
Note
Message
Contact list
Number list
File
Secound document
Improved file
User list
Textfile
New document
Text
Information
Info
Word document
Excel document
Powerpoint document
Detailed document
Homepage
Letter
Mail
Document
Old document
Approved document
Movie document
Picture document
Summary
Description
Requested document
Notice
Bill
Answer
Release
Final version
Diggest
Important document
Order
Photo document
Personal message
Phone number
E-mail
Icq number
Report
Story
Concept
Developement
Sample
Postcard
Account

附件名:
<随机名>[随机数字].pif
<随机名>可能为以下字符串之一
approved_file
list
corrected_document
archive
abuse_list
presentation_document
instructions
details
improved_document
note
message
contact_list
number_list
file
secound_document
improved_file
user_list
textfile
new_document
text
information
info
word_document
excel_document
powerpoint_document
detailed_document
homepage
letter
mail
document
old_document
approved_document
movie_document
picture_document
summary
description
requested_document
notice
bill
answer
release
final_version
diggest
important_document
order
photo_document
personal_message
phone_number
e-mail
icq_number
report
story
concept
developement
sample
postcard
account

内容:

第一部份可能为以下字符串之一
Hi!
Hello!

第二部份可能为以下字符串之一
Note that I have attached your document.
My <附件的文件名>.
The <附件的文件名>.
I have spent much time for the <附件的文件名>.
I have spent much time for your document.
Your <附件的文件名>.
Please notice the attached <附件的文件名>.
Please notice the attached document.
Please read quickly.
For more details see the attached document.
For more information see the attached document.
Approved, here is the document.
I have found the <附件的文件名>.
My <附件的文件名> is attached.
Your <附件的文件名> is attached.
Please, <附件的文件名>.
Your file is attached to this mail.
Please read the attached document.
Please have a look at the attached document.
See the document for details.
Here is the document.
The requested <附件的文件名> is attached!
I have sent the <附件的文件名>.
Please see the <附件的文件名>.
The <附件的文件名> is attached.
Here is the <附件的文件名>.
Please have a look at the <附件的文件名>.
Please read the <附件的文件名>.

第三部份可能为以下字符串之一
Yours sincerely
Thank you
Thanks


 解决方案:

  · 金山毒霸已经于4月08日对该病毒进行了应急处理,请升级最新版可完全查该病毒;

  ·
在收取邮件和在线聊天时不要轻易打开陌生人传来的文件,如果有必要打开,请使用最新病毒
    库的反病毒软件检测后再打开;在没有升级IE最新补丁的情况下,不要轻易点击好友发来的网
    址;

  · 手工解决方案
 
    首先,若系统为WinMe,则请先关闭系统还原功能;
    毒霸论坛:反病毒可能需要用到的方法及操作 > 如何禁用Win Me/XP的“系统还原”功能

  对于系统是Win9x/WinMe

  步骤一,删除病毒主程序
  请使用干净的系统软盘引导系统到纯DOS模式,然后转到系统目录(默认的系统目录为
  C:\windows),分别输入以下命令,以便删除病毒程序:
  
C:\windows\>del EasyAV.exe
  完毕后,取出系统软盘,重新引导到Windows系统。
  如果手中没有系统软件盘,可以在引导系统时按“F5”键也可进入纯DOS模式。

  步骤二
清除病毒在注册表里添加的项
  打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter;
  在左边的面板中, 双击(按箭头顺序查找,找到后双击):
  
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
  在右边的面板中, 找到并删除如下项目:
  "EasyAV"="%Windir%\EasyAV.exe"
  关闭注册表编辑器。


  对于系统是Windows NT, Windows 2000, Windows XP, Windows 2003 Sever:

  步骤一
使用进程序管里器结束病毒进程
  右键单击任务栏,弹出菜单,选择“任务管理器”,调出“Windows任务管理器”窗口。在任
  务管理器中,单击“进程”标签,在例表栏内找到病毒进程“EasyAV.exe”,单击“结束进
  程按钮 ”,点击“是”,结束病毒进程,然后关闭“Windows任务管理器”;

  步骤二
查找并删除病毒程序
  通过“我的电脑”或“资源管理器”进入系统目录(\Winnt或\windows),
  找到文件“EasyAV.exe”将它删除。注意清空回收站内的内容;

  步骤三,清除病毒在注册表里添加的项
  打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter;
  在左边的面板中, 双击(按箭头顺序查找,找到后双击):
  HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
  在右边的面板中, 找到并删除如下项目:
  "EasyAV"="%Windir%\EasyAV.exe"
  关闭注册表编辑器.

,
相关文章 热门文章
  • “网络天空”最新变种P(NetSky.P)分析报告
  • 手工彻底清除PWSteal.Lemir.Gen木马的方法
  • 最流行的恶意网站清除解决办法
  • 手工清除Backdoor.livup(msstart.exe)木马
  • 局域网病毒防杀一点通
  • 对付Backdoor.D.WinSys木马的窍门
  • 最近猖獗的熊猫烧香病毒分析与解决方案
  • 清除worm.snake.a病毒的方法
  • 手工彻底清除Backdoor.PWStealer木马的方法
  • 巧用NTFS权限屏蔽FlashGet弹出广告
  • 邮件病毒入侵后的五个清除步骤
  • 彻底清除征途木马病毒
  • "Worm.NetSky.B"4A级蠕虫分析报告
  • 自由广告区
     
    最新软件下载
  • SharePoint Server 2010 部署文档
  • Exchange 2010 RTM升级至SP1 教程
  • Exchange 2010 OWA下RBAC实现的组功能...
  • Lync Server 2010 Standard Edition 标..
  • Lync Server 2010 Enterprise Edition...
  • Forefront Endpoint Protection 2010 ...
  • Lync Server 2010 Edge 服务器部署文档
  • 《Exchange 2003专家指南》
  • Mastering Hyper-V Deployment
  • Windows Server 2008 R2 Hyper-V
  • Microsoft Lync Server 2010 Unleashed
  • Windows Server 2008 R2 Unleashed
  • 今日邮件技术文章
  • 腾讯,在创新中演绎互联网“进化论”
  • 华科人 张小龙 (中国第二代程序员 QQ...
  • 微软推出新功能 提高Hotmail密码安全性
  • 快压技巧分享:秒传邮件超大附件
  • 不容忽视的邮件营销数据分析过程中的算..
  • 国内手机邮箱的现状与未来发展——访尚..
  • 易观数据:2011Q2中国手机邮箱市场收入..
  • 穿越时空的爱恋 QQ邮箱音视频及贺卡邮件
  • Hotmail新功能:“我的朋友可能被黑了”
  • 入侵邻居网络发骚扰邮件 美国男子被重..
  • 网易邮箱莫子睿:《非你莫属》招聘多过..
  • 中国电信推广189邮箱绿色账单
  • 最新专题
  • 鸟哥的Linux私房菜之Mail服务器
  • Exchange Server 2010技术专题
  • Windows 7 技术专题
  • Sendmail 邮件系统配置
  • 组建Exchange 2003邮件系统
  • Windows Server 2008 专题
  • ORF 反垃圾邮件系统
  • Exchange Server 2007 专题
  • ISA Server 2006 教程专题
  • Windows Vista 技术专题
  • “黑莓”(BlackBerry)专题
  • Apache James 专题
  • 分类导航
    邮件新闻资讯:
    IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮
    电子邮箱 | 反垃圾邮件|邮件客户端|网络安全
    行业数据 | 邮件人物 | 网站公告 | 行业法规
    网络技术:
    邮件原理 | 网络协议 | 网络管理 | 传输介质
    线路接入 | 路由接口 | 邮件存储 | 华为3Com
    CISCO技术 | 网络与服务器硬件
    操作系统:
    Windows 9X | Linux&Uinx | Windows NT
    Windows Vista | FreeBSD | 其它操作系统
    邮件服务器:
    程序与开发 | Exchange | Qmail | Postfix
    Sendmail | MDaemon | Domino | Foxmail
    KerioMail | JavaMail | Winwebmail |James
    Merak&VisNetic | CMailServer | WinMail
    金笛邮件系统 | 其它 |
    反垃圾邮件:
    综述| 客户端反垃圾邮件|服务器端反垃圾邮件
    邮件客户端软件:
    Outlook | Foxmail | DreamMail| KooMail
    The bat | 雷鸟 | Eudora |Becky! |Pegasus
    IncrediMail |其它
    电子邮箱: 个人邮箱 | 企业邮箱 |Gmail
    移动电子邮件:服务器 | 客户端 | 技术前沿
    邮件网络安全:
    软件漏洞 | 安全知识 | 病毒公告 |防火墙
    攻防技术 | 病毒查杀| ISA | 数字签名
    邮件营销:
    Email营销 | 网络营销 | 营销技巧 |营销案例
    邮件人才:招聘 | 职场 | 培训 | 指南 | 职场
    解决方案:
    邮件系统|反垃圾邮件 |安全 |移动电邮 |招标
    产品评测:
    邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端
    广告联系 | 合作联系 | 关于我们 | 联系我们 | 繁體中文
    版权所有:邮件技术资讯网©2003-2010 www.5dmail.net, All Rights Reserved
    www.5Dmail.net Web Team   粤ICP备05009143号