病毒名称：Netsky

蠕虫别名：W32/Netsky.b@MM[McAfee],W32/Netsky.B.worm[Panda],WORM_NETSKY.B[TrendMicro],Moodown.B[F-Secure],I-Worm.Moodown.b [Kaspersky]

感染系统：Windows 2000, Windows 95, Windows 98, Windows Me, Windows XP

蠕虫描述：

W32.Netsky.B是一种邮件群发蠕虫，通过邮件附件传播，当你运行该带病毒的附件后便会被感染。蠕虫会扫描系统的硬盘及映射盘上的邮件地址，并使用自身的SMTP引擎发送带有病毒的邮件到上述地址中。同时他还会扫描系统硬盘上的共享文件夹，并将自身拷贝到这些共享文件夹。由于蠕虫传播的速度很快，塞门铁克已经将该蠕虫的危害级别提升为4级。

一旦机器感染该蠕虫，蠕虫将做以下操作：

1、在系统中创建一个名为AdmSkynetJKIS003的互斥体，该互斥体存在的目的是保证系统进程中始终有且只有一个蠕虫进程在运行。

2、可能会显示一个包含如下内容的对话框：

The file could not be opened!

3、将自身拷贝为%Windir%\services.exe (注：%Windir%是一个变数，根据系统安装的目录路径而改变，默认情况下是c:\windows或c:\winnt)

4、在注册表的

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 项中添加以下值："service" = "%Windir%\services.exe -serv"使得蠕虫能在系统重新启动后自动运行。

5、删除注册表

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中的"Taskmon" 表值删除注册表

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices项中的"Explorer"表值

6、删除注册表

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中的"KasperskyAV"和"System"表值

7、删除注册表中的

HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87

00AA005127ED}\InProcServer32项

(注：以上几项被删除的注册表项是mydoom蠕虫留下的)

8、从带有以下扩展名的文件中搜寻邮件地址：

.msg

.oft

.sht

.dbx

.tbb

.adb

.doc

.wab

.asp

.uin

.rtf

.vbs

.html

.htm

.pl

.php

.txt

.eml

9、查询硬盘驱动器从盘符C到Z中的共享文件夹，如果驱动器不是CD-ROM的话，就将自身拷贝到这些共享文件中，生成的病毒文件可能是下列文件名中的一个：

doom2.doc.pif

sex sex sex sex.doc.exe

rfc compilation.doc.exe

dictionary.doc.exe

win longhorn.doc.exe

e.book.doc.exe

programming basics.doc.exe

how to hack.doc.exe

max payne 2.crack.exe

e-book.archive.doc.exe

virii.scr

nero.7.exe

eminem - lick my pussy.mp3.pif

cool screensaver.scr

serial.txt.exe

office_crack.exe

hardcore porn.jpg.exe

angels.pif

porno.scr

matrix.scr

photoshop 9 crack.exe

strippoker.exe

dolly_buster.jpg.pif

winxp_crack.exe

10、使用自身带的SMTP程序发送带病毒的邮件到上述查找到的邮件地址中。发送的邮件包含以下特征：

From: (随机伪造的)

Subject: (下列各项中随机选取一项)

hi

hello

read it immediately

something for you

warning

information

stolen

fake

unknown

Message: (下列各项中随机选取一项)

anything ok?

what does it mean?

ok

i“m waiting

read the details.

here is the document.

read it immediately!

my hero

here

is that true?

is that your name?

is that your account?

i wait for a reply!

is that from you?

you are a bad writer

I have your password!

something about you!

kill the writer of this document!

i hope it is not true!

your name is wrong

i found this document about you

yes, really?

that is bad

here it is

see you

greetings

stuff about you?

something is going wrong!

information about you

about me

from the chatter

here, the serials

here, the introduction

here, the cheats

that“s funny

do you?

reply

take it easy

why?

thats wrong

misc

you earn money

you feel the same

you try to steal

you are bad

something is going wrong

something is fool

附件名称: (下列各项中随机选一项)

document

msg

doc

talk

message

creditcard

details

attachment

me

stuff

posting

textfile

concert

information

note

bill

swimmingpool

product

topseller

ps

shower

aboutyou

nomoney

found

story

mails

website

friend

jokes

location

final

release

dinner

ranking

object

mail2

part2

disco

party

misc

附件扩展名 1: (下列各项中随机选一项)

.txt

.rtf

.doc

.htm

附件扩展名 2: (下列各项中随机选一项)

.exe

.scr

.com

.pif

11、创建40个zip格式的压缩文件，文件大小22,016 字节，压缩文件中包含蠕虫，文件所用

的名字与上述附件名称中列出的名字相同。

解决办法：

一、使用专杀工具，你可以到我们网站下载：

http://www.ccert.edu.cn/pub/tools/FxNeskyB.exe

下载后请关闭其他应用程序后运行该工具。

二、手动查杀

1、升级你的杀毒软件到最新的病毒库

2、重新启动系统到安全模式下

3、使用杀毒软件做全盘的扫描，发现病毒后删除

4、修改注册表，删除

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中的

service" = "%Windir%\services.exe -serv"值

5、重新启动机器

参考网站：

http://securityresponse.symantec.com/avcenter/venc/data/w32.netsky.b@mm.html

http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=101034

中国教育和科研计算机网紧急响应组（CCERT）

2004 年2月19日