Netsky此次的新变种(W32.Netsky.AE @ mm)为依然依靠大规模的邮件传播,而且味口相当不错,从95、98一直到XP、2K3,除了DOS之些已经进入历史“名人堂”的系统,微软的的主流系统算是被它吃定了。
其他命名:I-Worm.Skybag.a [Kaspersky], W32/Netsky.ah @ MM [McAfee]
病毒类型:蠕虫
病毒长度:85,628字节
受影响系统:Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
风险指数:低(目前绝大多数病毒的风险指数已经艰难有超过中级的了)
破坏指数:中(看来还是有一定破坏力的)
感染指数:高(当然了,Netsky一直都是强力传播型的,怕是跟“非典”有的一拼)
技术分析:
当它开始“发功”时:
1,将自拷贝为:
·%System%\bloodred.exe(血红????)
·%System%\Windows_kernel32.exe(真会唬人,还有kernel32作名称,哼,小样,披着羊皮照样认识你)
注意:%system%文件夹:Windows 95/98/Me系统中默认为:C:\Windows\system,Windows NT/2000系统中默认为:C:\Winnt\system32,Windows XP系统中为:C:\Windows\system32
2,创建一个互斥实例名为“~~~Bloodred~~~owns~~~you~~~xoxo~~~2004”,以确保只有一个实例在运行。
3,创建如下的文件:
·%Windir%\bloodred.zip (病毒文件的压缩拷贝. 在里面的文件名为 Urgent_Info.pif.)
·%System%\base64exe.sys
·%System%\base64zip.sys
注意: %Windir%表示Windows安装目录. 默认情况下它是 C:\Windows 或C:\Winnt.
4,创建%System%\fun.txt文件
5,在如下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
添加如下键值:
"Microsoft Kernel"="%System%\Windows_kernel32.exe"
以便在Windows启动时运行病毒程序
6,将下列条目覆写入%System%\Drivers\etc\hosts文件:
127.0.0.1 www.norton.com
127.0.0.1 norton.com
127.0.0.1 yahoo.com
127.0.0.1 www.yahoo.com
127.0.0.1 microsoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 windowsupdate.com
127.0.0.1 www.windowsupdate.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 www.nai.com
127.0.0.1 nai.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 www.google.com
127.0.0.1 google.com
微软、google都就打不开了,因为这些条目的地址全部指向本机地址,能打开就是见了鬼了。
7,创建如下实例:
'D'r'o'p'p'e'd'S'k'y'N'e't'
SkynetNotice
SkynetSasserVersionWithPingFast
JumpallsNlsTillt
Jobaka3l
Jobaka3
MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
S-k-y-n-e-t--A-n-t-i-v-i-r-u-s-T-e-a-m
SkyNet-Sasser
AdmSkynetJKIS003
(出处:www.Gimoo.net)