逐梦论坛 - Powered by Discuz! Board

标题: [病毒查杀] Winlogon.exe 病毒 Worm_Netsky.D [打印本页]

作者: shillan 时间: 2005-12-23 21:21 标题: Winlogon.exe 病毒 Worm_Netsky.D

国家计算机病毒应急处理中心通过对互联网的监测，于2004年3月1日发现异常的病毒的邮件，经分析证实该病毒为“网络天空”病毒又一个变种，同时，该变种的一些特征与worm_netsky.c相同，如windows文件夹下生成的病毒文件名称，修改注册表键值已达到自启动的目的，以及删除的部分注册表键值。我们将该病毒命名为worm_netsky.d。该病毒已经在美国、日本、法国等传播。并且已经在我国出现。

该变种并没有什么新的技术和功能，只是在病毒邮件的主题、内容和附件上发生了变化，并且病毒附件需要点击运行病毒才能发作。所以对于用户来讲最重要的还是要立即升级杀毒软件，启动“实时监控”和“邮件监控”功能，同时在接收电子邮件时提高警惕，不要轻易打开邮件的附件。

该病毒通过邮件传播的蠕虫病毒，病毒邮件的发信人、主题、内容和附件都是不固定的，附件为一个.pif文件。当病毒运行时，会生成病毒文件、修改和删除注册表项。

　
病毒名称： worm_netsky.d（“网络天空”病毒变种）
其它英文命名：w32/netsky.d@mm （mcafee）
w32/netsky.d.worm （panda）
worm_netsky.d （trend micro）
i-worm.netsky.d （kaspersky）
win32.netsky.d （computer associates）
w32/netsky-d （sophos）
“网络天空变种d”(worm.netsky.d) （金山）
感染系统：win9x/winme/winnt/win2000/winxp/win2003
病毒长度：17,424字节
病毒特征：

病毒使用upx压缩，通过电子邮件进行传播。运行后，在windows目录下生成自身的拷贝，修改注册表键值。病毒的拷贝有两个扩展名，使用word的图标，并在共享文件夹中生成自身拷贝。

1、生成病毒文件

病毒运行后，在%windows％目录下生成自身的拷贝，名称为winlogon.exe。

（其中，%windows% 是windows的默认文件夹，通常是 c:或 c:）

2、修改注册表项

病毒创建注册表项，使得自身能够在系统启动时自动运行，在

hkey_local_machine下创建

icq net = "%windows%.exe -stealth"

3、删除注册表中的键值

为了达到影响系统运行的目的，会试图删除多个重要的注册表键值。

病毒在

hkey_local_machine和

hkey_current_user下寻找并删除下列键值：

explorer

kasperskyav

taskmon

windows services host

在hkey_local_machine下删除下列键值：

system.

msgsvr32

delete me

service

sentry

在hkey_current_user下删除下列键值：

d3dupdate.exe

au.exe

ole

在hkey_local_machine下删除下列键值：

system.

3、通过电子邮件进行传播

病毒在被感染用户的系统内搜索以下扩展名的文件，找到电子邮件地址，并使用的自带的smtp向这些地址发送带毒的电子邮件。

.dhtm

.cgi

.shtm

.msg

.oft

.sht

.dbx

.tbb

.adb

.doc

.wab

.asp

.uin

.rtf

.vbs

.html

.htm

.pl

.php

.txt

.eml

病毒发送的带毒电子邮件格式如下：

发件人：（可能不是真实的邮件地址，具有欺骗性的地址）

主题：（为下列之一）

re: your website

re: your product

re: your letter

re: your archive

re: your text

re: your bill

re: your details

re: my details

re: word file

re: excel file

re: details

re: approved

re: your software

re: your music

re: here

re: re: re: your document

re: hello

re: hi

re: re: message

re: your picture

re: here is the document

re: your document

re: thanks!

re: re: thanks!

re: re: document

re: document

内容：（为下列之一）

your file is attached.

please read the attached file.

please have a look at the attached file.

see the attached file for details.

here is the file.

your document is attached

附件：（扩展名为.pif的文件，名称为下列之一）

your_website.pif

your_product.pif

your_letter.pif

your_archive.pif

your_text.pif

your_bill.pif

your_details.pif

document_word.pif

document_excel.pif

my_details.pif

all_document.pif

application.pif

mp3music.pif

yours.pif

document_4351.pif

your_file.pif

message_details.pif

your_picture.pif

document_full.pif

message_part2.pif

document.pif

your_document.pif

4、其它（在共享文件夹下生成病毒文件）

病毒还会尝试连接如下的外部dns：

145.253.2.171

151.189.13.35

193.141.40.42

193.189.244.205

193.193.144.12

193.193.158.10

194.25.2.129

194.25.2.130

194.25.2.131

194.25.2.132

194.25.2.133

194.25.2.134

195.185.185.195

195.20.224.234

212.185.252.136

212.185.252.73

212.185.253.70

212.44.160.8

212.7.128.162

212.7.128.165

213.191.74.19

217.5.97.137

62.155.255.16

手工清除该病毒的相关操作：
1、终止病毒进程

在windows 9x/me系统，同时按下ctrl+alt+delete，在windows nt/2000/xp系统中，同时按下ctrl+shift+esc，选择“任务管理器--〉进程”，选中正在运行的进程“winlogon.exe”，并终止其运行。

2、注册表的恢复

点击“开始--〉运行”，输入regedit,运行注册表编辑器，依次双击左侧的hkey_local_machine>software>microsoft>windows>currentversion>run ，并删除面板右侧的icq net = "%windows%.exe -stealth"

3、删除病毒释放的文件

点击“开始--〉查找--〉文件和文件夹”，查找文件“winlogon.exe”，并将找到的文件删除。

4、运行杀毒软件，对系统进行全面的病毒查杀

欢迎光临逐梦论坛 (http://temp2023.zhumeng.org/)