)网络天空病毒
网络天空病毒反病毒专家破解了该蠕虫病毒的文本信息,结果表明,网络天空病毒变种接二连三爆发,可能与BBeagle病毒作者之间正在展开的病毒战有关……
网络天空病毒
病毒利用电子邮件和共享目录传播,传播的速度极快。病毒利用自带的SMTP邮件引擎对外发送邮件,邮件发送人随机产生,标题可能为:hello、stolen、warning、unknown、fake,附件后缀:.scr、.com、.pif、.rtf、.doc、.htm、.exe等,附件即是病毒体。通过邮件传播,使用UPX压缩。运行后,在Windows%目录下生成自身拷贝名为Winlogon.exe。病毒使用Word的图标,并在共享文件夹中生成自身拷贝。病毒创建注册表项,使得自身能够在系统启动时自动运行。病毒邮件的发信人、主题、内容和附件都不固定。
该病毒利用自带的SMTP邮件引擎发送,邮件发送人随机产生,标题可能为:hello、stolen、warning、unknown、fake,附件后缀为:。scr、。com、。pif、。rtf、。doc、。htm、。exe等,附件即是病毒体。
网络天空病毒病毒会显示虚假的消息框“The file could not be opened!”,复制自己为系统。
目录下的services.exe文件,修改注册表实现自启动。病毒会搜索注册表,如果发现“SCO炸弹”病毒留下的键值,则会删除。另外病毒会从注册表中删除俄罗斯杀毒软件AVP的键值,企图阻止该杀毒软件的自启动,加大用户的安全风险。
在硬盘上搜索以eml、txt、htm等等结尾的十几种文件,从中提取电子邮件地址,用病毒体自带的SMTP引擎向这些地址大量发送带毒邮件。带毒邮件的大量传播会严重消耗网络资源,甚至会影响企业的邮件服务器。
病毒信息:
病毒名称: Worm.NetSky.B
病毒别名:“网络天空”[瑞星]
威胁级别: 4A
发现日期: 2004.02.19
病毒别名: W32/Netsky.b@MM [McAfee]
W32/Netsky.B.worm [Panda]
网络天空病毒WORM_NETSKY.B [Trend Micro]
Moodown.B [F-Secure]
Worm.Moodown.b [Kaspersky]
病毒类型: 蠕虫
受影响系统: Win9x/WinMe/WinNT/Win2000/WinXP/Win2003
能处理的毒霸版本: 2004年02月19日
系统修改:
自我复制到Windows安装目录
%Windir%\services.exe;
在注册表主键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
中添加如下键值:
"service" = "%Windir%\services.exe -serv"
在注册表主键:
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |
| HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices |
中删除如下键值:
| "Taskmon" | "Explorer" |
在注册表主键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
中删除如下键值:
"KasperskyAV"
"System."
删除以下注册表键值:
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
在C盘到Z中搜索名字中含有"Share"或"Sharing"字符串的文件夹。如果找到的文件夹不是CD-ROM, 则该病毒将它自己拷贝到该文件夹及其所有的字文件夹中,名字可能是以下所列名字列表中的一个:
| doom2.doc.pif | sex sex sex sex.doc.exe | rfc compilation.doc.exe |
| dictionary.doc.exe | win longhorn.doc.exe | e.book.doc.exe |
| programming basics.doc.exe | how to hack.doc.exe | max payne 2.crack.exe |
| e-book.archive.doc.exe | virii.scr | nero.7.exe |
| eminem - lick my pussy.mp3.pif | cool screensaver.scr | serial.txt.exe |
| office_crack.exe | hardcore porn.jpg.exe | angels.pif |
| porno.scr | matrix.scr | photoshop 9 crack.exe |
| strippoker.exe | dolly_buster.jpg.pif | winxp_crack.exe |
在Windows目录%SystemRoot%下创建一个名为40 .zip的文件,该压缩文件内为该病毒的众多拷贝。这些拷贝的文件名为以下字符串列表中的一些:
| document | msg | doc | talk | message | creditcard | attachment | details | me | stuff |
| posting | textfile | concert | information | note | aboutyou | swimmingpool | product | ps | shower |
| topseller | found | story | nomoney | mails | website | friend | location | bill | jokes |
| final | release | dinner | ranking | object | mail2 | part2 | disco | misc | party |
发作现象:
会弹出一个对话框,对话框上显示以下内容:
The file could not be opened!
病毒邮件:
A、会在以以下后缀结尾的文件中查找Email地址:
| .msg | .oft | .sht | .dbx | .tbb | .adb | .doc | .wab | .asp |
| .uin | .rtf | .vbs | .html | .htm | .pl | .php | .txt | .eml |
B、使用其自带的SMTP引擎将其自己作为附件发送到以上找到的Email地址中,邮件具有以下特征:
发件人:<具有欺骗性地址>
主题:(以下字符串之一)
| hi | hello | warning | unknown | read it immediately |
| fake | stolen | information | something for you |
正文:(以下字符串之一)
| anything ok? | what does it mean? | read the details. |
| ok | i'm waiting | here is the document. |
| my hero | here | read it immediately! |
| is that true? | is that your name? | is that your account? |
| i wait for a reply! | is that from you? | you are a bad writer |
| I have your password! | something about you! | kill the writer of this document! |
| i hope it is not true! | your name is wrong | i found this document about you |
| yes, really? | that is bad | here it is |
| see you | greetings | something is going wrong! |
| about me | from the chatter | here, the serials |
| here, the introduction | here, the cheats | that's funny |
| do you? | reply | take it easy |
| about me | information about you | stuff about you? |
| why? | thats wrong | misc |
| you earn money | you feel the same | you try to steal |
| you are bad | something is going wrong | something is fool |
附件名:(以下字符串之一)
| creditcard | details | attachment | me | stuff | posting | textfile | concert | information |
| bill | swimmingpool | product | topseller | ps | shower | aboutyou | nomoney | found |
| mails | website | friend | jokes | final | location | release | dinner | ranking |
| note | story | object | mail2 | part2 | disco | party | misc |
附件扩展名1:(以下字符串之一)
| .txt | .rtf | .doc | .htm |
附件扩展名2:(以下字符串之一)
| .exe | .scr | .com | .pif |
解决方案:
请使用金山毒霸2004年02月19日的病毒库可完全处理该病毒;
请不要轻易点击陌生人的邮件以及下载和运行其所带附件,在运行可疑附件前最好先用毒霸扫描;
手工解决方案:
对于系统是Windows9x,WindowsMe:
步骤一,删除病毒主程序
网络天空病毒请使用干净的系统软盘引导系统到纯DOS模式,然后转到系统目录(默认的系统目录为C:\windows),分别输入以下命令,以便删除病毒程序:
C:\windows\>del services.exe
完毕后,取出系统软盘,重新引导到Windows系统。
如果手中没有系统软件盘,可以在引导系统时按“F5”键也可进入纯DOS模式。
步骤二,清除病毒在注册表里添加的项
打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter;
在左边的面板中, 双击(按箭头顺序查找,找到后双击):
HKEY_LOCAL_MACHINE > Software > Microsoft > Windows > CurrentVersion>Run
在右边的面板中, 找到并删除如下项目:
"service" = "%Windir%\services.exe -serv"
关闭注册表编辑器。
对于系统是Windows NT,Windows2000,Windows XP,Windows 2003 sever:
步骤一,使用进程序管里器结束病毒进程
右键单击任务栏,弹出菜单,选择“任务管理器”,调出“Windows任务管理器”窗口。在任务
管理器中,单击“进程”标签,在例表栏内找到病毒进程“services.exe”,单击“结束进程
按钮”,点击“是”,结束病毒进程,然后关闭“Windows任务管理器”;
步骤二,查找并删除病毒程序
通过“我的电脑”或“资源管理器”进入系统目录(Winnt或windows),找到文件“services.exe”,将它们删除;
步骤三,清除病毒在注册表里添加的项
打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter;
在左边的面板中, 双击(按箭头顺序查找,找到后双击):
HKEY_LOCAL_MACHINE > Software > Microsoft > Windows > CurrentVersion > Run
在右边的面板中, 找到并删除如下项目:
"service" = "%Windir%\services.exe -serv"
关闭注册表编辑器.
病毒信息:
病毒名称: Worm.Netsky.c
中文名称: "网络天空"变种
威胁级别: 3A
病毒别名:W32.Netsky.c@MM [Symantec]
网络天空病毒Worm.Moodown.c [Kaspersky]
WORM_NETSKY.C [Trend]
病毒类型: 蠕虫
受影响系统:Win9x/WinMe/WinNT/Win2000/WinXP/Win2003
此变种会继续大量发送病毒邮件,并且邮件主题、内容以及附件名称改头换面,使人更容易上当。更恶毒的是,它会搜索受感染系统的A 到Z盘,查找名字包含"shar"的文件夹,如果查到,它会释放一个病毒复本,使用工具软件和破解软件的名称。这样使病毒具备了通过P2P软件 传播和通过局域网共享传播的能力。而那些具有欺骗性的病毒复本名称使人更容易中招 。病毒的大量感染会造成更大量病毒邮件在网络中疯狂传播,严重浪费网络资源,最终导致邮件服务器极不稳定,甚至瘫痪,对企业用户的危 害十分大。以下是病毒的技术特点:
技术特点:
将自己拷贝到 %Windir%\Winlogon.exe,病毒进入系统后所存在的位置;
在以下主键
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
添加以下键值
"ICQ Net" = "%Windir%\winlogon.exe -stealth"
以便病毒可随机自启动
在%Windir% 目录下生成ZIP包,包内就是病毒复本,病毒会将此包做为邮件的附件;
如本地系统时间在 2004.2.26 上午 6:00 到上午8:00间时,蠕虫将导致计算机将不停的响铃。
病毒会在硬盘中搜索并收集电子邮件地址。
在所有非光盘的分区中检查包含“shar”字样的文件夹,然后将自己以下列可能的名字拷贝到找到的文件夹中,使病毒具备了通过P2P软件传播和通过局域网共享传播的能力。
病毒信息
病毒名称: Worm.Netsky.D
中文名称: 网络天空变种D
威胁级别: 3A
病毒别名: “网络天下”
WORM_NETSKY.D [Trend]
W32/Netsky@MM [McAfee]
网络天空病毒W32/Netsky.D.worm [Panda]
W32/Netsky-D [Sophos]
Worm.Netsky.d [Kaspersky]
病毒类型: 蠕虫
受影响系统: Win9x/Win2000/WinXP/Windows Server 2003
技术特点
1、传染条件:
利用邮件高速传播,造成邮件服务不堪重负,出现不稳定或瘫痪的现象。
2、系统修改
解决方案
A、请一定留意收到的邮件,如果有附件,请不要打开附件,更不要执行附件中的可执行程序,如果必须打开附件,请使用最新病毒库的反病毒软件检测后再打开;
B、手工解决方案
步骤一,删除病毒主程序
请使用干净的系统软盘引导系统到纯DOS模式,
然后转到WINDOWS安装目录(默认的安装目录为C:\windows\),输入以下命令,以便删除病毒程序: C:\windows\>del winlogon.exe
完毕后,取出系统软盘,重新引导到Windows系统。
如果手中没有系统软件盘,可以在引导系统时按“F5”键也可进入纯DOS模式。
步骤二,清除病毒在注册表里添加的项
打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter;
在左边的面板中, 双击(按箭头顺序查找,找到后双击):
HKEY_LOCAL_MACHINE>Software>Windows>CurrentVersion>Run
在右边的面板中, 找到并删除如下项目:
"ICQ Net" = "%Windir%\winlogon.exe -stealth"
关闭注册表编辑器.
对于系统是Windows NT,Windows2000,Windows XP,Windows 2003 sever
步骤一,使用进程序管里器结束病毒进程
右键单击任务栏,弹出菜单,选择“任务管理器”,调出“Windows任务管理器”窗口。在任务管理器中,单击“进程”标签,在例表栏内找到病毒进程“winlogon.exe”,单击“结束进程按钮”,点击“是”,结束病毒进程,然后关闭“Windows任务管理器”。
步骤二,查找并删除病毒程序
通过“我的电脑”或“资源管理器”进入安装目录(Winnt或windows),找到文件“winlogon.exe ”,将它删除,注意清空回收站内的内容。
步骤三,清除病毒在注册表里添加的项
打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter;
在左边的面板中, 双击(按箭头顺序查找,找到后双击):
HKEY_LOCAL_MACHINE>Software>Windows>CurrentVersion>Run
在右边的面板中, 找到并删除如下项目:
"ICQ Net" = "%Windir%\winlogon.exe -stealth"
关闭注册表编辑器.
病毒信息:
病毒名称: Worm.Netsk.z
网络天空病毒实例中文名称: 网络天空变种Z
威胁级别: 3C
病毒别名:W32/Netsky.y@MM [McAfee]
WORM_NETSKY.Y [Trend]
Win32.Netsky.Y [Computer Associates]
W32/Netsky-X [Sophos]
W32.Netsky.Y@mm [Symantec]
病毒类型:蠕虫
受影响系统: Windows 95, 98, ME, NT, 2000, XP
传染条件:
1、利用自身的SMTP发信引擎来发送病毒邮件,疯狂传播自己;
2、终于知名的反病毒软件和安全软件,降低系统安全性;
3、开启后门,等待攻击者连接,可自动下载并执行新的病毒。
4、对网络中的WEB服务器发起DoS(绝拒服务)攻击,造成一些网址无法访问。
技术特点:
1、在注册表主键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下添加如下键值:
"Jammer2nd"="%Windir%\Jammer2nd.exe"
2、拷贝自己到系统安装目录:
%SystemRoot%\Jammer2nd.exe
释放N(N为随机数)个它本身的MIME编码的拷贝至系统安装目录:
%SystemRoot%\PK_ZIP_ALG.LOG
%WinDir%\PK_ZIP%n%.LOG (%n%为数字)
3、创建一个名为"(S)(k)(y)(N)(e)(t)," 的互斥体,只允许起一个进程运行。
4、监听TCP 82端口,等待攻击者发送一个可执行文件。一旦文件下载完毕,该蠕虫就会主动运行之。
5、如果系统时间在2004年4月28日至2004年4月30日之间,该蠕虫就会对以下网址发动DoS攻击:
www.nibis.de
www.medinfo.ufl.edu
www.educa.ch
6、会在C至Z盘(包括光驱)中查找一下后缀的文件中包含的Email地址:
| .eml | .txt | .php | .cfg | .mbx | .mdx | .asp | .wab | .doc | .vbs | .rtf | .uin |
| .shtm | .cgi | .dhtm | .abd | .tbb | .dbx | .pl | .html | .htm | .sht | .oft | .msg |
| .ods | .stm | .xls | .jsp | .wsh | .xml | .mht | .mmf | .nch | .ppt |
7、通过其自带的SMTP引擎发送一个它自身的拷贝到hukanmikloiuo@yahoo.com,以及所有它搜索到的Email地址。其发送的邮件具有以下特征:
发件人:
主题:
| Hello | Important document! | Important | Important bill! | Important data! | Important details! |
| Hi | Information | Important! | Important textfile! | Important notice! | Important informations! |
附件名:
| Bill.zip | Details.zip | Informations.zip | Part-2.zip |
| Data.zip | Important.zip | Notice.zip | Textfile.zip |
压缩包里的可执行文件名为:
| Bill.txt (many spaces) .exe | Details.txt (many spaces) .exe |
| Data.txt (many spaces) .exe | Important.txt (many spaces) .exe |
| Notice.txt (many spaces) .exe | Informations.txt (many spaces) .exe |
| Part-2.txt (many spaces) .exe | Textfile.txt (many spaces) .exe |
8、该蠕虫会利用默认的DNS来转换Email域名的IP,如果不成功,就会利用以下的DNS服务器来进行解析:
| 212.185.252.73 | 217.5.97.137 | 194.25.2.129 | 193.193.144.12 |
| 212.185.253.70 | 212.7.128.162 | 194.25.2.133 | 213.191.74.19 |
| 212.185.252.136 | 212.7.128.165 | 194.25.2.134 | 151.189.13.35 |
| 194.25.2.129 | 193.193.158.10 | 193.141.40.42 | 195.185.185.195 |
| 194.25.2.130 | 194.25.2.131 | 145.253.2.171 | 212.44.160.8 |
| 195.20.224.234 | 194.25.2.132 | 193.189.244.205 |
解决方案:
对于系统是Win9x/WinMe:
步骤一,删除病毒主程序
请使用干净的系统软盘引导系统到纯DOS模式,然后转到系统目录(默认的系统目录为
C:\windows),分别输入以下命令,以便删除病毒程序:
C:\windows\>del Jammer2nd.exe
C:\windows\>del PK_ZIP%n%.LOG (%n%为数字)
完毕后,取出系统软盘,重新引导到Windows系统。
网络天空病毒高居榜首如果手中没有系统软件盘,可以在引导系统时按“F5”键也可进入纯DOS模式;
步骤二,清除病毒在注册表里添加的项
打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter;
在左边的面板中, 双击(按箭头顺序查找,找到后双击):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
在右边的面板中, 找到并删除如下项目:
"FirewallSvr"="%Windir%\FirewallSvr.exe
关闭注册表编辑器。
对于系统是Windows NT, Windows 2000, Windows XP, Windows 2003 Sever:
步骤一,使用进程序管里器结束病毒进程
右键单击任务栏,弹出菜单,选择“任务管理器”,调出“Windows任务管理器”窗口。在任
务管理器中,单击“进程”标签,在例表栏内找到病毒进程“Jammer2nd.exe”,单击“结束
进程按钮 ”,点击“是”,结束病毒进程,然后关闭“Windows任务管理器”;
步骤二,查找并删除病毒程序
通过“我的电脑”或“资源管理器”进入系统目录(Winnt或windows),找到病毒主程序文件
“FirewallSvr.exe、PK_ZIP%n%.LOG (%n%为数字)”,将它们删除;
步骤三,清除病毒在注册表里添加的项
打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter;
在左边的面板中, 双击(按箭头顺序查找,找到后双击):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
在右边的面板中, 找到并删除如下项目:
"FirewallSvr"="%Windir%\FirewallSvr.exe"
关闭注册表编辑器.
"Worm.NetSky.Y"蠕虫分析报告
"Worm.NetSky.X"蠕虫分析报告
"Worm.NetSky.T"蠕虫分析报告
"Worm.NetSky.Q"蠕虫分析报告
"Worm.NetSky.P"蠕虫分析报告
"Worm.NetSky.M"蠕虫分析报告
"Worm.NetSky.K"蠕虫分析报告
“网络天空”最终变种K现身 病毒作者休战
2004年3月9日,瑞星全球病毒监测网国内率先截获恶性病毒“网络天空”的第十一个变种,并命名为“网络天空变种K(Worm.Netsky.k)”病毒。在病毒程序夹带的信息中,作者声言不再对“网络天空”病毒进行重新编写,这将是“网络天空”病毒的最后一个变种。
据瑞星反病毒工程师介绍,在病毒体里病毒编写者声明:This is the last versi on of our antivirus。尽管作者可能会停止新版本病毒的编写,但目前“网络天空”病毒的各个版本泛滥的趋势只会趋缓而不太可能马上停止。随着反病毒软件的升级,越来越多的用户给自己的机器打上各种补丁,“网络天空”、“恶鹰”、“SCO炸弹”等等
网络天空病毒作者从病毒体里的声明来看,互相较量病毒编写技巧、对垃圾邮件的不同态度造成了此次恶性病毒“三强争霸”的局面。此次混战中,普通计算机用户遭受到了前所未有的重创,病毒发送的大量垃圾邮件严重影响了互联网的正常运行。
瑞星反病毒工程师提醒大家:即使病毒编写者不再编写新变种,也并不意味着病毒的早期版本会停止传播,作为普通用户,上网的时候开启邮件即时监控也还是防止自己感染的好主意。
18岁天才病毒作者受起诉将面临5年牢狱之灾
2004年9月,德国警方正式对震荡波蠕虫和网络天空病毒的作者Sven Jaschan提起诉讼,如果诉讼罪名成立,Sven Jaschan可能将面临长达5年的牢狱生活。并且微软公司正式对外界宣布,如果罪名成立,将会对检举Sven Jaschan的人支付25万美元的奖金。如果有企业或者受病毒影响的用户对于Sven Jaschan提起民事诉讼的话,结果将不可想象,Sven Jaschan的赔偿金额将会达到天文数字。无论如何他都将为自己的行为付出代价,同时也警告了那些“天才”们,不要肆意传播病毒。
比较有趣的是,Sven Jaschan的朋友Nigam,也就是告发Sven Jaschan的人也被怀疑编写过病毒,并予以传播,对于此消息,警方正在调查。微软公司说如果消息属实,希望知情人士踊跃予以揭发,微软将乐意颁发奖金。
病毒作者Sven后继有人 新版网络天空病毒韩国现身
反病毒研究人员在韩国已经发现了包含有与一所大学相关联文字的新版本的“网络天空”蠕虫病毒。
欧洲反病毒厂商F-Secure公司的反病毒调研主任Mikko Hypponen表示,与以往不同的是,最近版本的“网络天空”蠕虫病毒包含有“SoonChunHyang”和“Bucheon”两个字符串。 Hypponen说:“在韩国的Bucheon市有一所名为SoonChunHyang大学,因此我猜测这个病毒变种大概与韩国有关”。
据反病毒厂商Sophos公司表示,原来的“网络天空”病毒是Sven 编写的,据Sven交代的可靠材料表明,今年前半年全部的病毒感染有70%是他编写的。今年五月Sven 已被德国的警察机关监禁,据警方称Sven 已经承认他编写了“网络天空”和“震荡波”两种蠕虫病毒。在他五月被逮捕以前,至少出现了25个“网络天空”病毒变种和一个扫描网络端口的“震荡波”蠕虫病毒。
在Sven 被逮捕前他说已经把蠕虫病毒的源代码散播出去,这将导致许多人去开发他们的自有版本的蠕虫病毒变种。Hypponen 表示,如果蠕虫病毒源代码被发布出去,它将非常流行。三月份他说:“”网络天空“病毒的源代码的才能是非凡的,因为这种蠕虫病毒已经取得了巨大的成功。“ 自斯文被逮捕后,已经至少又出现了20种其它”网络天空“病毒变种。
Hypponen认为,近来出现的“网络天空”病毒变种都是由“盲目的模仿者”开发的Hypponen说:“原来的”网络天空“病毒作者由于被逮捕,他的生意已经退场了,这些新出现的”网络天空“病毒似乎是其他的同伙开发的”。
“网络天空(Worm.Netsky)”病毒专杀工具 http://it.rising.com.cn/service/technology/RS_Netsky.htm
