大家好:
由于最近W32/Netsky.d@MM (网络天空)邮件病毒肆虐,造成公司的邮件系统几近瘫痪,故中心决定升级故障等级,届时电脑部同事将采取紧急措施对全区各分部每一台电脑进行彻底清查、查杀此病毒防止该病毒死灰复燃,再度影响公司系统!
一、手工清除该病毒的相关操作(以下操作会有电脑部同事完成):
1、终止病毒进程
打开“任务管理器——〉进程”,如发现其中有两个正在运行的“Winlogon.exe”进程,则选中正在运行的进程“Winlogon.exe”,并终止其运行,正常的系统“Winlogon.exe”进程由于是关键进程故不会被杀掉。
2、注册表的恢复
点击“开始——〉运行”,输入regedit,运行注册表编辑器,依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ,如果有ICQ Net = "%Windows%\winlogon.exe -stealth"键值将其删除。
3、删除病毒释放的文件
点击“开始——〉查找——〉文件和文件夹”,查找文件“Winlogon.*”,c:\winnt\system32下的182,032字节的“winlogon.exe”为正常系统文件,如果出现c:\winnt\winlogon.zip或winlogon.exe则证明感染病毒,将该文件删除。
4、运行杀毒软件,对系统进行全面的病毒查杀(附件中有专用杀毒工具,或者各大杀毒软件网站均可下载该病毒专用查杀工具)
对于错过杀毒的同事,请主动联系电脑部同事解决!!
二、中心将于3月3日晚对邮件服务器服务进行调整
届时邮件附件将屏蔽(.vbs|.vbe|.js|.exe|.com|.pif|.lnk|.scr|.bat|.shs|.sh)等后缀名,如需要可将附件使用rar或zip两种格式压缩后发送,软件的使用方法由电脑部负责培训。
三、再次通知各位计算机用户不要打开莫名邮件,邮件特征在下边的病毒简介中,另外由于该病毒是复制用户通讯簿中邮件地址作为发件人地址及收件人地址,故务必请用户清除通讯簿中非公司的邮件地址!!
以下是病毒特征简介:
国家计算机病毒应急处理中心通过对互联网的监测,于2004年3月1日发现异常的病毒的邮件,经分析证实该病毒为“网络天空”病毒又一个变种,同时,该变种的一些特征与Worm_Netsky.C相同,如windows文件夹下生成的病毒文件名称,修改注册表键值已达到子启动的目的,以及删除的部分注册表键值。我们将该病毒命名为Worm_Netsky.D。该病毒已经在美国、日本、法国等传播。并且已经在我国出现。
该变种并没有什么新的技术和功能,只是在病毒邮件的主题、内容和附件上发生了变化,并且病毒附件需要点击运行病毒才能发作。所以对于用户来讲最重要的还是要立即升级杀毒软件,启动“实时监控”和“邮件监控”功能,同时在接收电子邮件时提高警惕,不要轻易打开邮件的附件。
该病毒通过邮件传播的蠕虫病毒,病毒邮件的发信人、主题、内容和附件都是不固定的,附件为一个.pif文件。当病毒运行时,会生成病毒文件、修改和删除注册表项。
病毒名称: Worm_Netsky.D(“网络天空”病毒变种)
其它英文命名:W32/Netsky.d@MM (McAfee)
W32/Netsky.D.worm (Panda)
WORM_NETSKY.D (Trend Micro)
I-Worm.Netsky.d (Kaspersky)
Win32.Netsky.D (Computer Associates)
W32/Netsky-D (Sophos)
“网络天空变种D”(Worm.Netsky.d) (金山)
感染系统:Win9x/WinMe/WinNT/Win2000/WinXP/Win2003
病毒长度:17,424字节
病毒特征:
病毒使用UPX压缩,通过电子邮件进行传播。运行后,在Windows目录下生成自身的拷贝,修改注册表键值。病毒的拷贝有两个扩展名,使用Word的图标,并在共享文件夹中生成自身拷贝。
1、生成病毒文件
病毒运行后,在%Windows%目录下生成自身的拷贝,名称为Winlogon.exe。
(其中,%Windows% 是Windows的默认文件夹,通常是 C:\Windows 或 C:\WINNT)
2、修改注册表项
病毒创建注册表项,使得自身能够在系统启动时自动运行,在
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下创建
ICQ Net = "%Windows%\winlogon.exe -stealth"
3、删除注册表中的键值
为了达到影响系统运行的目的,会试图删除多个重要的注册表键值。
病毒在
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 和
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下寻找并删除下列键值:
Explorer
KasperskyAV
Taskmon
Windows Services Host
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下删除下列键值:
System.
msgsvr32
DELETE ME
service
Sentry
在HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下删除下列键值:
d3dupdate.exe
au.exe
OLE
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices下删除下列键值:
System.
3、通过电子邮件进行传播
病毒在被感染用户的系统内搜索以下扩展名的文件,找到电子邮件地址,并使用的自带的SMTP向这些地址发送带毒的电子邮件。
.dhtm
.cgi
.shtm
.msg
.oft
.sht
.dbx
.tbb
.adb
.doc
.wab
.asp
.uin
.rtf
.vbs
.html
.htm
.pl
.php
.txt
.eml
病毒发送的带毒电子邮件格式如下:
发件人:(可能不是真实的邮件地址,具有欺骗性的地址)
主题:(为下列之一)
Re: Your website
Re: Your product
Re: Your letter
Re: Your archive
Re: Your text
Re: Your bill
Re: Your details
Re: My details
Re: Word file
Re: Excel file
Re: Details
Re: Approved
Re: Your software
Re: Your music
Re: Here
Re: Re: Re: Your document
Re: Hello
Re: Hi
Re: Re: Message
Re: Your picture
Re: Here is the document
Re: Your document
Re: Thanks!
Re: Re: Thanks!
Re: Re: Document
Re: Document
内容:(为下列之一)
Your file is attached.
Please read the attached file.
Please have a look at the attached file.
See the attached file for details.
Here is the file.
Your document is attached
附件:(扩展名为.pif的文件,名称为下列之一)
your_website.pif
your_product.pif
your_letter.pif
your_archive.pif
your_text.pif
your_bill.pif
your_details.pif
document_word.pif
document_excel.pif
my_details.pif
all_document.pif
application.pif
mp3music.pif
yours.pif
document_4351.pif
your_file.pif
message_details.pif
your_picture.pif
document_full.pif
message_part2.pif
document.pif
your_document.pif
4、其它(在共享文件夹下生成病毒文件)
病毒还会尝试连接如下的外部DNS:
145.253.2.171
151.189.13.35
193.141.40.42
193.189.244.205
193.193.144.12
193.193.158.10
194.25.2.129
194.25.2.129
194.25.2.130
194.25.2.131
194.25.2.132
194.25.2.133
194.25.2.134
195.185.185.195
195.20.224.234
212.185.252.136
212.185.252.73
212.185.253.70
212.44.160.8
212.7.128.162
212.7.128.165
213.191.74.19
217.5.97.137
62.155.255.16
|
