近段时间,MSN病毒过后似乎一直不算平静,先是江民被黑,然后是国内众多黑客站点互相攻击,打的不变乐乎,紧接着Mydoom搅得各全球各大杀毒厂商坐立不安,这头还没忘完,这会Netsky又带着皇帝的新衣来跟我玩过家家酒了。
Netsky此次的新变种(W32.Netsky.AE @ mm)为依然依靠大规模的邮件传播,而且味口相当不错,从95、98一直到XP、2K3,除了DOS之些已经进入历史“名人堂”的系统,微软的的主流系统算是被它吃定了。
其他命名:I-Worm.Skybag.a [Kaspersky], W32/Netsky.ah @ MM [McAfee]
病毒类型:蠕虫
病毒长度:85,628字节
受影响系统:Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
风险指数:低(目前绝大多数病毒的风险指数已经艰难有超过中级的了)
破坏指数:中(看来还是有一定破坏力的)
感染指数:高(当然了,Netsky一直都是强力传播型的,怕是跟“非典”有的一拼)
技术分析:
当它开始“发功”时:
1,将自拷贝为:
·%System%\bloodred.exe(血红????)
·%System%\Windows_kernel32.exe(真会唬人,还有kernel32作名称,哼,小样,披着羊皮照样认识你)
注意:%system%文件夹:Windows 95/98/Me系统中默认为:C:\Windows\system,Windows NT/2000系统中默认为:C:\Winnt\system32,Windows XP系统中为:C:\Windows\system32
2,创建一个互斥实例名为“~~~Bloodred~~~owns~~~you~~~xoxo~~~2004”,以确保只有一个实例在运行。
3,创建如下的文件:
·%Windir%\bloodred.zip (病毒文件的压缩拷贝. 在里面的文件名为 Urgent_Info.pif.)
·%System%\base64exe.sys
·%System%\base64zip.sys
注意: %Windir%表示Windows安装目录. 默认情况下它是 C:\Windows 或C:\Winnt.
4,创建%System%\fun.txt文件
5,在如下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
添加如下键值:
"Microsoft Kernel"="%System%\Windows_kernel32.exe"
以便在Windows启动时运行病毒程序
6,将下列条目覆写入%System%\Drivers\etc\hosts文件:
127.0.0.1 www.norton.com
127.0.0.1 norton.com
127.0.0.1 yahoo.com
127.0.0.1 www.yahoo.com
127.0.0.1 microsoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 windowsupdate.com
127.0.0.1 www.windowsupdate.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 www.nai.com
127.0.0.1 nai.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 www.google.com
127.0.0.1 google.com
微软、google都就打不开了,因为这些条目的地址全部指向本机地址,能打开就是见了鬼了。
7,创建如下实例:
'D'r'o'p'p'e'd'S'k'y'N'e't'
SkynetNotice
SkynetSasserVersionWithPingFast
JumpallsNlsTillt
Jobaka3l
Jobaka3
MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
S-k-y-n-e-t--A-n-t-i-v-i-r-u-s-T-e-a-m
SkyNet-Sasser
AdmSkynetJKIS003
|