这种新的 NETSKY 变种使用自身的SMTP(Simple Mail Transfer Protocol)引擎通过电子邮件进行传播。
它发出的邮件具有变化的标题、信体和附件文件名。它还从某些具有特殊扩展名的文件中搜集邮件地址。
该病毒还可以通过网络共享进行传播,它在受感染系统的共享文件夹中产生自身的拷贝。
当病毒发出的邮件被阅读的时候,它利用包含不正确的MIME头漏洞的IE中已知的漏洞执行病毒。要了解关于该漏洞的更多信息,请参考下面的链接:
http://www.microsoft.com/technet/security/bulletin/MS01-020.mspx
该病毒可以删除已经存在的某些特殊注册表键的功能。
这种驻留内存的病毒使用UPX压缩,运行在Windows 95, 98, ME, NT, 2000 和 XP系统上。
二、技术细节:
到达并安装
这种新的NETSKY变种通过邮件和共享文件夹进行传播。在执行的时候,它在Windows文件夹中创建如下文件:
- FVPROTECT.EXE
- USERCONFIG9X.DLL
自启动技术
为了在每次Windows启动的时候运行,该病毒创建如下注册表键:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
CurrentVersion\Run
Norton Antivirus AV = "%Windows%\FVProtect.exe"
(注意: %Windows% 是默认的Windows文件夹,通常是C:\Windows 或 C:\WINNT.)
该病毒还会通过创建如下注册表键把自己注册为一种服务:
HKEY_LOCAL_MACHINE\System\CurrentControlSet
Services\NPF
HKEY_LOCAL_MACHINE\System\CurrentControlSet
Enum\Root\LEGACY_NPF
通过邮件进行传播
该病毒使用自身的SMTP(Simple Mail Transfer Protocol)引擎通过邮件进行传播。它发出的邮件信息具有如下细节:
发件人: (使用从受感染的网络中搜集到的邮件地址进行伪装)
标题: (如下任意形式:)
?Re: Encrypted Mail
?Re: Extended Mail
?Re: Status
?Re: Notify
?Re: SMTP Server
?Re: Mail Server
?Re: Delivery Server
?Re: Bad Request
?Re: Failure
?Re: Thank you for delivery
?Re: Test
?Re: Administration
?Re: Message Error
?Re: Error
?Re: Extended Mail System
?Re: Secure SMTP Message
?Re: Protected Mail Request
?Re: Protected Mail System
?Re: Protected Mail Delivery
?Re: Secure delivery
?Re: Delivery Protection
?Re: Mail Authentification
?Re: Encrypted Mail
?Re: Extended Mail
?Re: Status
?Re: Notify
?Re: SMTP Server
?Re: Mail Server
?Re: Delivery Server
?Re: Bad Request
?Re: Failure
?Re: Thank you for delivery
?Re: Test
?Re: Administration
?Re: Message Error
?Re: Error
?Re: Extended Mail System
?Re: Secure SMTP Message
?Re: Protected Mail Request
?Re: Protected Mail System
?Re: Protected Mail Delivery
?Re: Secure delivery
?Re: Delivery Protection
?Re: Mail Authentification
信体:
(可以以如下字符串开始:)
?Please confirm my request.
?ESMTP [Secure Mail System #334]: Secure message
is attached.
?Partial message is available. Waiting for a Response.
Please read the attachment.
?First part of the secure mail is available.
?For more details see the attachment.
?For further details see the attachment.
?Your requested mail has been attached.
?Protected Mail System Test.
?Secure Mail System Beta Test.
?Forwarded message is available.
?Delivered message is attached.
?Encrypted message is available.
?Please read the attachment to get the message.
?Follow the instructions to read the message.
?Please authenticate the secure message.
?Protected message is attached.
?Waiting for authentification.
?Protected message is available.
?Bad Gateway: The message has been attached.
?SMTP: Please confirm the attached message.
?You got a new message.
?Now a new message is available.
?New message is available.
?You have received an extended message. Please read
the instructions.
(随后是如下字符串:)
?Your details.
?Your document.
?I have received your document. The corrected
document is attached.
?I have attached your document.
?Your document is attached to this mail.
?Authentication required.
?Requested file.
?See the file.
?Please read the important document.
?Please confirm the document.
?Your file is attached.
?Please read the document.
?Your document is attached.
?Please read the attached file!
?Please see the attached file for details.
(信体包含如下字符串:)
?+++ Attachment: No Virus found
+++ MessageLabs AntiVirus - www.messagelabs.com
?+++ Attachment: No Virus found
+++ Bitdefender AntiVirus - www.bitdefender.com
?+++ Attachment: No Virus found
+++ MC-Afee AntiVirus - www.mcafee.com
?+++ Attachment: No Virus found
+++ Kaspersky AntiVirus - www.kaspersky.com
?+++ Attachment: No Virus found
+++ Panda AntiVirus - www.pandasoftware.com
?++++ Attachment: No Virus found
++++ Norman AntiVirus - www.norman.com
?++++ Attachment: No Virus found
++++ F-Secure AntiVirus - www.f-secure.com
?++++ Attachment: No Virus found
++++ Norton AntiVirus - www.symantec.de
它的附件使用如下的文件扩展名:
对于以ZIP文件扩展名形式为附件的情况,存档文件可能为如下任意文件:
- DATA.RTF.SCR
- DETAILS.TXT.PIF
- DOCUMENT.TXT.EXE
三、解决方案:
以安全模式重启
在 Windows 95系统中
- 重启机器
- 在出现 "Starting Windows 95"时按F8
- 在Windows95启动菜单中选择安全模式,然后按Enter。
在 Windows 98/ME系统中
- 重启机器
- 按CTRL键直至出现Windows 启动菜单
- 选择安全模式选项,按Enter。
在WindowsXP 系统中
- 重启机器
- 当提示出现时,按F8键。
- 如果Windows XP Professional 启动时没有出现按键选择操作系统启动菜单,重启机器。
- 在Power-On Self Test (POST)后,按F8。
- 从Windows高级选项菜单中选择安全模式,按回车。
在Windows2000 系统中
- 重启机器
- 当看到屏幕底部出现启动Windows横条时,按F8键。
- 从Windows2000高级选项菜单中,选择安全模式选项,按回车键。
在Windows NT 系统中(VGA 模式)
- 点击开始>设置>控制面板。
- 双击系统图标。
- 点击启动/关闭选项卡。
- 将显示列表选项设置为10秒,点击OK保存更改。
- 关闭系统然后重启。
- 选择启动菜单中的VGA模式。
注意 :要删除启动列表菜单,将显示列表值改为0即可。
删除注册表中的自启动项目
从注册表中删除自动运行项目来阻止恶意程序在启动时执行。
- 打开注册表编辑器。点击开始>运行,输入REGEDIT,按Enter
- 在左边的面板中,双击:
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
- 在右边的面板中,找到并删除如下项目:
Norton Antivirus AV = "%Windows%\FVProtect.exe"
注意 :%Windows% 是Windows文件夹,通常就是C:\Windows或C:\WINNT。
- 关闭注册表编辑器。
注意: 如果不能按照上述步骤终止在内存中运行的恶意进程,请重启系统。
运行趋势科技防病毒
使用趋势科技防病毒产品扫描系统并删除所有被检测为WORM_NETSKY.P的文件。趋势科技的用户必须在扫描系统之前下载 最新病毒码文件 。其他的互联网用户可以使用Housecall,这是趋势科技的 免费在线病毒扫描 。
应用补丁
这种恶意程序利用了Internet Explorer的已知漏洞。下载并安装微软提供的 修补补丁 。避免在安装完补丁前使用该产品。趋势科技建议用户下载并安装软件厂商发布的紧急补丁。 |
