Winlogon.exe 病毒 Worm_Netsky.D
[table][size=2] [/size]国家计算机病毒应急处理中心通过对互联网的监测,于2004年3月1日发现异常的病毒的邮件,经分析证实该病毒为“网络天空”病毒又一个变种,同时,该变种的一些特征与worm_netsky.c相同,如windows文件夹下生成的病毒文件名称,修改注册表键值已达到自启动的目的,以及删除的部分注册表键值。我们将该病毒命名为worm_netsky.d。该病毒已经在美国、日本、法国等传播。并且已经在我国出现。 [align=left] 该变种并没有什么新的技术和功能,只是在病毒邮件的主题、内容和附件上发生了变化,并且病毒附件需要点击运行病毒才能发作。所以对于用户来讲最重要的还是要立即升级杀毒软件,启动“实时监控”和“邮件监控”功能,同时在接收电子邮件时提高警惕,不要轻易打开邮件的附件。[/align][align=left] 该病毒通过邮件传播的蠕虫病毒,病毒邮件的发信人、主题、内容和附件都是不固定的,附件为一个.pif文件。当病毒运行时,会生成病毒文件、修改和删除注册表项。 [/align][b][size=3][align=left][/align][align=left] [/align][/size][align=left]病毒名称: worm_netsky.d(“网络天空”病毒变种)[/align][align=left]其它英文命名:w32/netsky.d@mm (mcafee)[/align][align=left]w32/netsky.d.worm (panda) [/align][align=left]worm_netsky.d (trend micro)[/align][align=left]i-worm.netsky.d (kaspersky) [/align][align=left]win32.netsky.d (computer associates)[/align][align=left]w32/netsky-d (sophos)[/align][align=left]“网络天空变种d”(worm.netsky.d) (金山)[/align][align=left]感染系统:win9x/winme/winnt/win2000/winxp/win2003[/align][align=left]病毒长度:17,424字节[/align][align=left]病毒特征: [/align][/b][size=3][align=left][/align][align=left]病毒使用upx压缩,通过电子邮件进行传播。运行后,在windows目录下生成自身的拷贝,修改注册表键值。病毒的拷贝有两个扩展名,使用word的图标,并在共享文件夹中生成自身拷贝。[/align][/size][align=left][/align][b][align=left]1、生成病毒文件[/align][/b][align=left]病毒运行后,在%windows%目录下生成自身的拷贝,名称为winlogon.exe。[/align][align=left](其中,%windows% 是windows的默认文件夹,通常是 c:或 c:)[/align][size=3][align=left][/align][b][align=left]2、修改注册表项[/align][/b][align=left]病毒创建注册表项,使得自身能够在系统启动时自动运行,在[/align][align=left]hkey_local_machine下创建[/align][align=left]icq net = "%windows%.exe -stealth"[/align][/size][align=left][/align][b][align=left]3、删除注册表中的键值[/align][/b][align=left]为了达到影响系统运行的目的,会试图删除多个重要的注册表键值。[/align][align=left]病毒在[/align][align=left]hkey_local_machine和[/align][align=left]hkey_current_user下寻找并删除下列键值:[/align][align=left]explorer [/align][align=left]kasperskyav[/align][align=left]taskmon [/align][align=left]windows services host [/align][align=left][/align][align=left]在hkey_local_machine下删除下列键值:[/align][align=left]system. [/align][align=left]msgsvr32 [/align][align=left]delete me [/align][align=left]service [/align][align=left]sentry[/align][align=left][/align][align=left]在hkey_current_user下删除下列键值:[/align][align=left]d3dupdate.exe [/align][align=left]au.exe [/align][align=left]ole[/align][align=left][/align][align=left]在hkey_local_machine下删除下列键值:[/align][align=left]system.[/align][align=left][/align][b][align=left]3、通过电子邮件进行传播[/align][/b][align=left]病毒在被感染用户的系统内搜索以下扩展名的文件,找到电子邮件地址,并使用的自带的smtp向这些地址发送带毒的电子邮件。[/align][align=left].dhtm [/align][align=left].cgi [/align][align=left].shtm [/align][align=left].msg [/align][align=left].oft [/align][align=left].sht [/align][align=left].dbx [/align][align=left].tbb [/align][align=left].adb [/align][align=left].doc [/align][align=left].wab [/align][align=left].asp [/align][align=left].uin [/align][align=left].rtf [/align][align=left].vbs [/align][align=left].html [/align][align=left].htm [/align][align=left].pl [/align][align=left].php [/align][align=left].txt [/align][align=left].eml[/align][align=left][/align][align=left]病毒发送的带毒电子邮件格式如下:[/align][align=left]发件人:(可能不是真实的邮件地址,具有欺骗性的地址)[/align][align=left][/align][align=left]主题:(为下列之一)[/align][align=left]re: your website [/align][align=left]re: your product [/align][align=left]re: your letter [/align][align=left]re: your archive [/align][align=left]re: your text [/align][align=left]re: your bill [/align][align=left]re: your details [/align][align=left]re: my details [/align][align=left]re: word file [/align][align=left]re: excel file [/align][align=left]re: details [/align][align=left]re: approved [/align][align=left]re: your software [/align][align=left]re: your music [/align][align=left]re: here [/align][align=left]re: re: re: your document [/align][align=left]re: hello [/align][align=left]re: hi [/align][align=left]re: re: message [/align][align=left]re: your picture [/align][align=left]re: here is the document [/align][align=left]re: your document [/align][align=left]re: thanks! [/align][align=left]re: re: thanks! [/align][align=left]re: re: document [/align][align=left]re: document[/align][size=3][align=left][/align][/size][align=left]内容:(为下列之一)[/align][align=left]your file is attached. [/align][align=left]please read the attached file. [/align][align=left]please have a look at the attached file. [/align][align=left]see the attached file for details. [/align][align=left]here is the file. [/align][align=left]your document is attached[/align][align=left][/align][align=left]附件:(扩展名为.pif的文件,名称为下列之一)[/align][align=left]your_website.pif [/align][align=left]your_product.pif [/align][align=left]your_letter.pif [/align][align=left]your_archive.pif [/align][align=left]your_text.pif [/align][align=left]your_bill.pif [/align][align=left]your_details.pif [/align][align=left]document_word.pif [/align][align=left]document_excel.pif [/align][align=left]my_details.pif [/align][align=left]all_document.pif [/align][align=left]application.pif [/align][align=left]mp3music.pif [/align][align=left]yours.pif [/align][align=left]document_4351.pif [/align][align=left]your_file.pif [/align][align=left]message_details.pif [/align][align=left]your_picture.pif [/align][align=left]document_full.pif [/align][align=left]message_part2.pif [/align][align=left]document.pif [/align][align=left]your_document.pif[/align][size=3][align=left][/align][/size][b][align=left]4、其它(在共享文件夹下生成病毒文件)[/align][/b][align=left]病毒还会尝试连接如下的外部dns:[/align][align=left]145.253.2.171 [/align][align=left]151.189.13.35 [/align][align=left]193.141.40.42 [/align][align=left]193.189.244.205 [/align][align=left]193.193.144.12 [/align][align=left]193.193.158.10 [/align][align=left]194.25.2.129 [/align][align=left]194.25.2.129 [/align][align=left]194.25.2.130 [/align][align=left]194.25.2.131 [/align][align=left]194.25.2.132 [/align][align=left]194.25.2.133 [/align][align=left]194.25.2.134 [/align][align=left]195.185.185.195 [/align][align=left]195.20.224.234 [/align][align=left]212.185.252.136 [/align][align=left]212.185.252.73 [/align][align=left]212.185.253.70 [/align][align=left]212.44.160.8 [/align][align=left]212.7.128.162 [/align][align=left]212.7.128.165 [/align][align=left]213.191.74.19 [/align][align=left]217.5.97.137 [/align][align=left]62.155.255.16[/align][size=3][align=left][/align][b][align=left]手工清除该病毒的相关操作:[/align][align=left]1、终止病毒进程[/align][/b][align=left]在windows 9x/me系统,同时按下ctrl+alt+delete,在windows nt/2000/xp系统中,同时按下ctrl+shift+esc,选择“任务管理器--〉进程”,选中正在运行的进程“winlogon.exe”,并终止其运行。 [/align][/size][align=left][/align][b][align=left]2、注册表的恢复[/align][/b][align=left]点击“开始--〉运行”,输入regedit,运行注册表编辑器,依次双击左侧的hkey_local_machine>software>microsoft>windows>currentversion>run ,并删除面板右侧的icq net = "%windows%.exe -stealth"[/align][align=left][/align][b][align=left]3、删除病毒释放的文件[/align][/b][align=left]点击“开始--〉查找--〉文件和文件夹”,查找文件“winlogon.exe”,并将找到的文件删除。[/align][align=left][b]4、运行杀毒软件,对系统进行全面的病毒查杀[/align][/b][/table]
页:
[1]