紧急响应小组

JXCERT最新病毒公告（2004.2.19）
病毒名称：WORM_NETSKY.B
2004年2月19日

O、病毒小档案：

种类：	WORM	风险程度：	中度
别名：	W32.Netsky.B@mm, Win32.Netsky.B, 网络天下, W32/Netsky-B, I-Worm.Moodown.B, W32/Netsky.b@MM, Moodown.B	平台：	Windows 95, 98, ME, NT, 2000, XP
		病毒大小：	22,016 Bytes
		具破坏性：	不会

一、病毒特征：

安装和自启动技术

该病毒可常驻内存和邮件群发，并在共享文件夹中生成可执行的自身拷贝，拷贝使用Word图标，有两个文件扩展名。

病毒在运行时会在Windows文件夹中生成名为SERVICES.EXE的自身拷贝。

为使自身可在每次系统启动时运行，病毒创建如下的注册表项目：

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
service = %Windows%\services.exe -serv

(注意： %Windows% 是Windows文件夹，通常是C:\Windows 或C:\WINNT。 )

病毒在首次运行时，显示如下的消息框：

邮件群发程序

病毒通过SMTP发送自身拷贝。病毒从C到Z驱动器中搜索带有如下扩展名的文件，从中取得邮件地址：

ADB
ASP
DBX
DOC
EML
HTM
HTML
MSG
OFT
PHP
PL
RTF
SHT
TBB
TXT
UIN
VBS
WAB

病毒同样将“snet@skynet.de”放到地址池中。

病毒通过对收集到地址所在的域执行DNS查询获取SMTP服务器地址。病毒将217.5.100.1作为默认DNS查询服务器。

病毒所发送的邮件有如下细节特征：

From: 从获得的地址列表中选择

Subject: (其中之一)
hi
hello
read it immediately
something for you
warning
information
stolen
fake
unknown

Message body: (其中之一)
anything ok?
what does it mean?
ok
i'm waiting
read the details.
here is the document.
read it immediately!
my hero
here
is that true?
is that your name?
is that your account?
i wait for a reply!
is that from you?
you are a bad writer
I have your password!
something about you!
kill the writer of this document!
i hope it is not true!
your name is wrong
i found this document about you
yes, really?
that is bad
here it is
see you
greetings
stuff about you?
something is going wrong!
information about you
about me
from the chatter
here, the serials
here, the introduction
here, the cheats
that's funny
do you?
reply
take it easy
why?
thats wrong
misc
you earn money
you feel the same
you try to steal
you are bad
something is going wrong
something is fool

Attachment:
文件名为其中之一：
document
msg
doc
talk
message
creditcard
details
attachment
me
stuff
posting
textfile
concert
information
note
bill
swimmingpool
product
topseller
ps
shower
aboutyou
nomoney
found
story
mails
website
friend
jokes
location
final
release
dinner
ranking
object
mail2
part2
disco
party
misc

第一扩展名（可能不显示出来）为其中之一：
TXT
RTF
DOC
HTM
第二扩展名为其中之一：
SCR
COM
PIF
EXE

附件经过ZIP压缩。在这里，附件有ZIP扩展名，但其中的文件有一个或两个文件扩展名。

如下为上面描述的邮件截图：

点对点传播

病毒在文件夹中生成大量的自身拷贝，拷贝的文件名带有如下的字符串：

sharing
share

文件夹有C:\Program Files\My Shared Folder\Kazaa等。

病毒生成拷贝的文件名为如下其中之一：

angels.pif
cool screensaver.scr
dictionary.doc.exe
dolly_buster.jpg.pif
doom2.doc.pif
e.book.doc.exe
e-book.archive.doc.exe
eminem - lick my pussy.mp3.pif
hardcore porn.jpg.exe
how to hack.doc.exe
matrix.scr
max payne 2.crack.exe
nero.7.exe
office_crack.exe
photoshop 9 crack.exe
porno.scr
programming basics.doc.exe
rfc compilation.doc.exe
serial.txt.exe
sex sex sex sex.doc.exe
strippoker.exe
virii.scr
win longhorn.doc.exe
winxp_crack.exe

病毒同样在Windows系统文件夹中生成经zip压缩的自身拷贝，拷贝文件名有：

aboutyou
attachment
bill
concert
creditcard
details
dinner
disco
doc
final
found
friend
information
jokes
location
mail2
mails
me
message
misc
msg
nomoney
note
object
part2
party
posting
product
ps
ranking
release
shower
story
stuff
swimmingpool
talk
textfile
topseller
website

(注意：文件扩展名为.ZIP，但其中的文件有一或两个文件扩展名。)

WORM_MYDOOM和WORM_MIMAIL.T清除

病毒通过删除如下的注册表项目，在每次系统启动时阻止执行WORM_MYDOOM.A的执行：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
CurrentVersion\Run,
Taskmon

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
CurrentVersion\Run,
Taskmon

病毒同样删除如下的注册表项目阻止WORM_MYDOOM.B的执行。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
CurrentVersion\Run,
Explorer

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
CurrentVersion\Run,
Explorer

病毒还能阻止MYDOOM两个变种的执行，方法还是删除注册表项目：

HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-
00AA005127ED}\InProcServer32

病毒通过删除如下的注册表项目，在每次系统启动时阻止执行WORM_MIMAIL.T的执行：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
CurrentVersion\Run,
KasperskyAv

病毒最后还会删除可能被其他病毒利用作为自启动项目的如下注册表项目：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
CurrentVersion\Run,
system

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
CurrentVersion\Run,
system

其他细节

病毒创建互斥体“AdmSkynetJklS003 ”用于标明自身已在内存运行。

二、解决方案:

辨别病毒程序

在进行病毒清除前，首先辨别该病毒程序。

使用趋势科技的防病毒产品扫描你的系统。记录下检测出的所有 WORM_NETSKY.B 文件。趋势科技的用户在扫描系统前应该下载最新病毒码。其它的网络用户可以使用趋势科技的免费在线病毒扫描器 Housecall。

结束病毒程序

该操作结束内存中运行的病毒进程。你需要刚才记录下的文件名。

1. 打开Windows任务管理器.
在 Windows 95/98/ME 系统上, 按下
CTRL+ALT+DELETE
在 Windows NT/2000/XP 系统上, 按下
CTRL+SHIFT+ESC, 并点击进程标签

2. 在运行的程序列表*中，找到刚才记录下的文件名

3. 选择病毒进程，根据系统的Windows版本，按下结束任务或结束进程按钮。

4. 对运出进程列表中所有的病毒文件执行相同的操作

5. 关闭任务管理器，再重新打开，检查病毒进程是否结束

6. 关闭任务管理器

*注意: 系统上运行的如果是Windows 9x/98/ME, 任务管理器可能不会显示某些进程。你需要其它的进程管理器来结束病毒进程。否则，继续下面操作的同时，注意附加提示。

从注册表中删除自动运行键

删除注册表中的自动运行键可以防止病毒在每次系统启动的时候运行：

1. 打开注册表编辑器。点击 Start>Run, 敲入 Regedit,然后回车

2. 在左边的面板，双击下面的项目：
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run

3. 在右边的面板中，找到并删除下面的键：
service = %Windows%\services.exe -serv

4. 在左边的面板，双击下面的项目：
HKEY_CLASSES_ROOT>CLSID>{E6FB5E20-DE35-11CF-9C87-00AA005127ED}

5. 仍旧在左边的面板，右击并删除如下子键：
InProcServer32

6. 仍旧在左边的面板，找到并双击如下：
InProcServer32

7. 在右边的面板中，双击(Default)项目，将其值改为：
%System%\WEBCHECK.DLL

8. 关闭注册表编辑器

注意：如果按照上面操作仍不能结束内存中运行的病毒进程，请重启你的系统。

对 Windows ME/XP 进行清除的重要建议

运行趋势科技防病毒产品

使用趋势科技的防病毒产品扫描所有文件并删除检测出的 WORM_NETSKY.B 文件。趋势科技的用户在扫描系统前应该下载最新病毒码。其它的网络用户可以使用趋势科技的免费在线病毒扫描器 Housecall。