9,513
社区成员
发帖
与我相关
我的任务
分享个人防火墙提示遭受攻击?急!
2004-04-08 10:33:22 入浸检测系统 严重 接收 TCP 10.77.142.119
2004-04-08 10:33:07 主动响应 严重 接收 None 10.77.142.119
2004-04-08 10:31:24 入浸检测系统 严重 接收 TCP 10.77.142.119
2004-04-08 09:24:58 主动响应 重要 接收 None 10.77.142.119
2004-04-08 09:14:56 主动响应 重要 接收 None 10.77.138.169
2004-04-08 09:13:52 入浸检测系统 严重 接收 TCP 10.77.138.169
一电脑遭受同一局域网其他电脑的攻击,我该怎么处理这种攻击,请教!
2004-04-08 10:33:07 主动响应 严重 接收 None 10.77.142.119
2004-04-08 10:31:24 入浸检测系统 严重 接收 TCP 10.77.142.119
2004-04-08 09:24:58 主动响应 重要 接收 None 10.77.142.119
2004-04-08 09:14:56 主动响应 重要 接收 None 10.77.138.169
2004-04-08 09:13:52 入浸检测系统 严重 接收 TCP 10.77.138.169
一电脑遭受同一局域网其他电脑的攻击,我该怎么处理这种攻击,请教!
...全文
请发表友善的回复…
发表回复
xuqi1981 2004-04-09
- 打赏
- 举报
问题是我们是用DHCP自动分配IP地址的,
公司有2万台电脑
我怎么找到那2个IP地址,对那两台电脑进行杀毒了?
一定是病毒导致的吗
公司有2万台电脑
我怎么找到那2个IP地址,对那两台电脑进行杀毒了?
一定是病毒导致的吗
homeland520 2004-04-08
- 打赏
- 举报
我国出现“高波”病毒新变种Worm_AgoBot
国家计算机病毒应急处理中心通过对互联网的监测,于2004年3月10日发现一个新型病毒,经分析确认该病毒为"高波"病毒的一个新变种.。该病毒是常驻内存的蠕虫病毒,可利用RPC DCOM 缓冲区溢出漏洞、IIS5/WEBDAV 缓冲区溢出漏洞和RPC Locator 漏洞进行传播,它还可以通过弱密码攻击远程系统进行主动传播以,利用mIRC软件进行远程控制和传播。
计算机病毒应急处理中心提醒广大计算机用户及时修补漏洞,升级杀毒软件和防火墙,启动"实时监控",设置较为复杂的系统密码(建议为8位以上),做好病毒的预防工作。
病毒名称:"高波"变种(Worm_AgoBot)
病毒类型:蠕虫
其它命名:WORM_AGOBOT.PY (Trend Micro)
"高波"(Worm.Agobot.3.ch) (瑞星公司)
"安哥"变种(Hack.Win32.AgoBot.zl) (金山)
Backdoor.Agobot.fo (AVP)
感染系统:WinNT/Win2000/WinXP/Win2003
病毒长度:115,738字节
病毒特征:
1、生成病毒文件
病毒运行后,在%System%文件夹下生成自身的拷贝,名称为
nvchip4.exe。
(其中,%System%在Windows 95/98/Me 下为C:\Windows\System,
在Windows NT/2000下为C:\Winnt\System32,在Windows XP下为 C:\Windows\System32)
2、修改注册表项
病毒添加注册表项,使得自身能够在系统启动时自动运行,在
HKEY_LOCAL_MACHINE \Software\Microsoft\WindowsCurrentVersion\Run和HKEY_LOCAL_MACHINE \Software\Microsoft\Windows\CurrentVersion\RunServices下添加"nVidia Chip4 = nvchip4.exe"
3、利用DCOM RPC漏洞进行传播
病毒利用了微软的三个漏洞进行传播:
(1)DCOM RPC缓冲区溢出漏洞(Microsoft Security Bulletin MS03-026)
有关该漏洞的详细信息或下载漏洞补丁程序,请参见微软网站的相关链接:
http://www.microsoft.com/technet/security/bulletin/MS03-026. mspx
或国家计算机病毒应急处理中心的相关链接:
http://www.antivirus-china.org.cn/content/rpc.htm
(2)IIS5/WEBDAV 缓冲区溢出漏洞(Microsoft Security Bulletin MS03-001)
有关该漏洞的详细信息或下载漏洞补丁程序,请参见微软网站的相关链接:
http://www.microsoft.com/technet/security/bulletin/MS03-001.mspx
(3)RPC Locator 漏洞(Microsoft Security Bulletin MS03-007)
http://www.microsoft.com/technet/security/bulletin/MS03-007.mspx
4、利用mIRC进行远程控制和传播
病毒可以通过mIRC进行传播,并允许恶意用户远程访问被感染的系统。
5、通过弱密码攻击进行传播
病毒还可以通过破解简单的管理员及号密码,来攻击远程系统进行主动传播。病毒会使用一些用户和密码攻击远程系统,攻击成功,则会上传病毒。(使用弱密码攻击的用户和密码请参见文档末尾部分)
6、终止杀毒软件和防火墙的运行
病毒会终止一些程序的运行,其中很多都是防病毒和防火墙软件运行、升级的相关程序,从而导致计算机失去基本的防护。
国家计算机病毒应急处理中心通过对互联网的监测,于2004年3月10日发现一个新型病毒,经分析确认该病毒为"高波"病毒的一个新变种.。该病毒是常驻内存的蠕虫病毒,可利用RPC DCOM 缓冲区溢出漏洞、IIS5/WEBDAV 缓冲区溢出漏洞和RPC Locator 漏洞进行传播,它还可以通过弱密码攻击远程系统进行主动传播以,利用mIRC软件进行远程控制和传播。
计算机病毒应急处理中心提醒广大计算机用户及时修补漏洞,升级杀毒软件和防火墙,启动"实时监控",设置较为复杂的系统密码(建议为8位以上),做好病毒的预防工作。
病毒名称:"高波"变种(Worm_AgoBot)
病毒类型:蠕虫
其它命名:WORM_AGOBOT.PY (Trend Micro)
"高波"(Worm.Agobot.3.ch) (瑞星公司)
"安哥"变种(Hack.Win32.AgoBot.zl) (金山)
Backdoor.Agobot.fo (AVP)
感染系统:WinNT/Win2000/WinXP/Win2003
病毒长度:115,738字节
病毒特征:
1、生成病毒文件
病毒运行后,在%System%文件夹下生成自身的拷贝,名称为
nvchip4.exe。
(其中,%System%在Windows 95/98/Me 下为C:\Windows\System,
在Windows NT/2000下为C:\Winnt\System32,在Windows XP下为 C:\Windows\System32)
2、修改注册表项
病毒添加注册表项,使得自身能够在系统启动时自动运行,在
HKEY_LOCAL_MACHINE \Software\Microsoft\WindowsCurrentVersion\Run和HKEY_LOCAL_MACHINE \Software\Microsoft\Windows\CurrentVersion\RunServices下添加"nVidia Chip4 = nvchip4.exe"
3、利用DCOM RPC漏洞进行传播
病毒利用了微软的三个漏洞进行传播:
(1)DCOM RPC缓冲区溢出漏洞(Microsoft Security Bulletin MS03-026)
有关该漏洞的详细信息或下载漏洞补丁程序,请参见微软网站的相关链接:
http://www.microsoft.com/technet/security/bulletin/MS03-026. mspx
或国家计算机病毒应急处理中心的相关链接:
http://www.antivirus-china.org.cn/content/rpc.htm
(2)IIS5/WEBDAV 缓冲区溢出漏洞(Microsoft Security Bulletin MS03-001)
有关该漏洞的详细信息或下载漏洞补丁程序,请参见微软网站的相关链接:
http://www.microsoft.com/technet/security/bulletin/MS03-001.mspx
(3)RPC Locator 漏洞(Microsoft Security Bulletin MS03-007)
http://www.microsoft.com/technet/security/bulletin/MS03-007.mspx
4、利用mIRC进行远程控制和传播
病毒可以通过mIRC进行传播,并允许恶意用户远程访问被感染的系统。
5、通过弱密码攻击进行传播
病毒还可以通过破解简单的管理员及号密码,来攻击远程系统进行主动传播。病毒会使用一些用户和密码攻击远程系统,攻击成功,则会上传病毒。(使用弱密码攻击的用户和密码请参见文档末尾部分)
6、终止杀毒软件和防火墙的运行
病毒会终止一些程序的运行,其中很多都是防病毒和防火墙软件运行、升级的相关程序,从而导致计算机失去基本的防护。
homeland520 2004-04-08
- 打赏
- 举报
(随后是下列之一字符串)
Your details.
Your document.
I have received your document. The corrected
document is attached.
I have attached your document.
Your document is attached to this mail.
Authentication required.
Requested file.
See the file.
Please read the important document.
Please confirm the document.
Your file is attached.
Please read the document.
Your document is attached.
Please read the attached file!
Please see the attached file for details.
(内容包含下列之一字符串)
+++ Attachment: No Virus found
+++ MessageLabs AntiVirus - www.messagelabs.com
+++ Attachment: No Virus found
+++ Bitdefender AntiVirus - www.bitdefender.com
+++ Attachment: No Virus found
+++ MC-Afee AntiVirus - www.mcafee.com
+++ Attachment: No Virus found
+++ Kaspersky AntiVirus - www.kaspersky.com
+++ Attachment: No Virus found
+++ Panda AntiVirus - www.pandasoftware.com
++++ Attachment: No Virus found
++++ Norman AntiVirus - www.norman.com
++++ Attachment: No Virus found
++++ F-Secure AntiVirus - www.f-secure.com
++++ Attachment: No Virus found
++++ Norton AntiVirus - www.symantec.de
附件(有可能为下列之一)
document05
websites03
game_xxo
your_document
紧跟在附件名后的字符串
(下列之一,这是视觉上假的扩展名,真正的扩展名在空格后面)
.txt <很长的连续的空格>
.doc <很长的连续的空格>
附件的扩展名(为下列之一)
.exe (此扩展名的附件为病毒拷贝)
.pif (此扩展名的附件为病毒拷贝)
.scr (此扩展名的附件为病毒拷贝)
.zip(此扩展名的附件的压缩包中包含病毒的可执行文件
document.txt .exe,data.rtf .scr,details.txt .pif)
发送的电子邮件地址中不包含以下字符串
@antivi
@avp
@bitdefender
@fbi
@f-pro
@freeav
@f-secur
@kaspersky
@mcafee
@messagel
@microsof
@norman
@norton
@pandasof
@skynet
@sophos
@spam
@symantec
@viruslis
abuse@
noreply@
ntivir
reports@
spam@
附录二 :通过网络共享进行传播的详细描述
该病毒还通过在受感染系统的共享文件夹中创建自身拷贝来进行传播
搜索包含如下字符串的路径:
shared files
kazaa
mule
donkey
morpheus
lime
bear
icq
shar
upload
http
htdocs
ftp
download
my shared folder
使用如下文件名将自身拷贝保存在这些共享文件夹中:
1001 Sex and more.rtf.exe
3D Studio Max 6 3dsmax.exe
ACDSee 10.exe
Adobe Photoshop 10 crack.exe
Adobe Photoshop 10 full.exe
Adobe Premiere 10.exe
Ahead Nero 8.exe
Altkins Diet.doc.exe
American Idol.doc.exe
Arnold Schwarzenegger.jpg.exe
Best Matrix Screensaver new.scr
Britney sex xxx.jpg.exe
Britney Spears and Eminem porn.jpg.exe
Britney Spears blowjob.jpg.exe
Britney Spears cumshot.jpg.exe
Britney Spears fuck.jpg.exe
Britney Spears full album.mp3.exe
Britney Spears porn.jpg.exe
Britney Spears Sexy archive.doc.exe
Britney Spears Song text archive.doc.exe
Britney Spears.jpg.exe
Britney Spears.mp3.exe
Clone DVD 6.exe
Cloning.doc.exe
Cracks & Warez Archiv.exe
Dark Angels new.pif
Dictionary English 2004 - France.doc.exe
DivX 8.0 final.exe
Doom 3 release 2.exe
E-Book Archive2.rtf.exe
Eminem blowjob.jpg.exe
Eminem full album.mp3.exe
Eminem Poster.jpg.exe
Eminem sex xxx.jpg.exe
Eminem Sexy archive.doc.exe
Eminem Song text archive.doc.exe
Eminem Spears porn.jpg.exe
Eminem.mp3.exe
Full album all.mp3.pif
Gimp 1.8 Full with Key.exe
Harry Potter 1-6 book.txt.exe
Harry Potter 5.mpg.exe
Harry Potter all e.book.doc.exe
Harry Potter e book.doc.exe
Harry Potter game.exe
Harry Potter.doc.exe
How to hack new.doc.exe
Internet Explorer 9 setup.exe
Kazaa Lite 4.0 new.exe
Kazaa new.exe
Keygen 4 all new.exe
Learn Programming 2004.doc.exe
Lightwave 9 Update.exe
Magix Video Deluxe 5 beta.exe
Matrix.mpg.exe
Microsoft Office 2003 Crack best.exe
Microsoft WinXP Crack full.exe
MS Service Pack 6.exe
netsky source code.scr
Norton Antivirus 2005 beta.exe
Opera 11.exe
Partitionsmagic 10 beta.exe
Porno Screensaver britney.scr
RFC compilation.doc.exe
Ringtones.doc.exe
Ringtones.mp3.exe
Saddam Hussein.jpg.exe
Screensaver2.scr
Serials edition.txt.exe
Smashing the stack full.rtf.exe
Star Office 9.exe
Teen Porn 15.jpg.pif
The Sims 4 beta.exe
Ulead Keygen 2004.exe
Visual Studio Net Crack all.exe
Win Longhorn re.exe
WinAmp 13 full.exe
Windows 2000 Sourcecode.doc.exe
Windows 2003 crack.exe
Windows XP crack.exe
WinXP eBook newest.doc.exe
XXX hardcore pics.jpg.exe
Your details.
Your document.
I have received your document. The corrected
document is attached.
I have attached your document.
Your document is attached to this mail.
Authentication required.
Requested file.
See the file.
Please read the important document.
Please confirm the document.
Your file is attached.
Please read the document.
Your document is attached.
Please read the attached file!
Please see the attached file for details.
(内容包含下列之一字符串)
+++ Attachment: No Virus found
+++ MessageLabs AntiVirus - www.messagelabs.com
+++ Attachment: No Virus found
+++ Bitdefender AntiVirus - www.bitdefender.com
+++ Attachment: No Virus found
+++ MC-Afee AntiVirus - www.mcafee.com
+++ Attachment: No Virus found
+++ Kaspersky AntiVirus - www.kaspersky.com
+++ Attachment: No Virus found
+++ Panda AntiVirus - www.pandasoftware.com
++++ Attachment: No Virus found
++++ Norman AntiVirus - www.norman.com
++++ Attachment: No Virus found
++++ F-Secure AntiVirus - www.f-secure.com
++++ Attachment: No Virus found
++++ Norton AntiVirus - www.symantec.de
附件(有可能为下列之一)
document05
websites03
game_xxo
your_document
紧跟在附件名后的字符串
(下列之一,这是视觉上假的扩展名,真正的扩展名在空格后面)
.txt <很长的连续的空格>
.doc <很长的连续的空格>
附件的扩展名(为下列之一)
.exe (此扩展名的附件为病毒拷贝)
.pif (此扩展名的附件为病毒拷贝)
.scr (此扩展名的附件为病毒拷贝)
.zip(此扩展名的附件的压缩包中包含病毒的可执行文件
document.txt .exe,data.rtf .scr,details.txt .pif)
发送的电子邮件地址中不包含以下字符串
@antivi
@avp
@bitdefender
@fbi
@f-pro
@freeav
@f-secur
@kaspersky
@mcafee
@messagel
@microsof
@norman
@norton
@pandasof
@skynet
@sophos
@spam
@symantec
@viruslis
abuse@
noreply@
ntivir
reports@
spam@
附录二 :通过网络共享进行传播的详细描述
该病毒还通过在受感染系统的共享文件夹中创建自身拷贝来进行传播
搜索包含如下字符串的路径:
shared files
kazaa
mule
donkey
morpheus
lime
bear
icq
shar
upload
http
htdocs
ftp
download
my shared folder
使用如下文件名将自身拷贝保存在这些共享文件夹中:
1001 Sex and more.rtf.exe
3D Studio Max 6 3dsmax.exe
ACDSee 10.exe
Adobe Photoshop 10 crack.exe
Adobe Photoshop 10 full.exe
Adobe Premiere 10.exe
Ahead Nero 8.exe
Altkins Diet.doc.exe
American Idol.doc.exe
Arnold Schwarzenegger.jpg.exe
Best Matrix Screensaver new.scr
Britney sex xxx.jpg.exe
Britney Spears and Eminem porn.jpg.exe
Britney Spears blowjob.jpg.exe
Britney Spears cumshot.jpg.exe
Britney Spears fuck.jpg.exe
Britney Spears full album.mp3.exe
Britney Spears porn.jpg.exe
Britney Spears Sexy archive.doc.exe
Britney Spears Song text archive.doc.exe
Britney Spears.jpg.exe
Britney Spears.mp3.exe
Clone DVD 6.exe
Cloning.doc.exe
Cracks & Warez Archiv.exe
Dark Angels new.pif
Dictionary English 2004 - France.doc.exe
DivX 8.0 final.exe
Doom 3 release 2.exe
E-Book Archive2.rtf.exe
Eminem blowjob.jpg.exe
Eminem full album.mp3.exe
Eminem Poster.jpg.exe
Eminem sex xxx.jpg.exe
Eminem Sexy archive.doc.exe
Eminem Song text archive.doc.exe
Eminem Spears porn.jpg.exe
Eminem.mp3.exe
Full album all.mp3.pif
Gimp 1.8 Full with Key.exe
Harry Potter 1-6 book.txt.exe
Harry Potter 5.mpg.exe
Harry Potter all e.book.doc.exe
Harry Potter e book.doc.exe
Harry Potter game.exe
Harry Potter.doc.exe
How to hack new.doc.exe
Internet Explorer 9 setup.exe
Kazaa Lite 4.0 new.exe
Kazaa new.exe
Keygen 4 all new.exe
Learn Programming 2004.doc.exe
Lightwave 9 Update.exe
Magix Video Deluxe 5 beta.exe
Matrix.mpg.exe
Microsoft Office 2003 Crack best.exe
Microsoft WinXP Crack full.exe
MS Service Pack 6.exe
netsky source code.scr
Norton Antivirus 2005 beta.exe
Opera 11.exe
Partitionsmagic 10 beta.exe
Porno Screensaver britney.scr
RFC compilation.doc.exe
Ringtones.doc.exe
Ringtones.mp3.exe
Saddam Hussein.jpg.exe
Screensaver2.scr
Serials edition.txt.exe
Smashing the stack full.rtf.exe
Star Office 9.exe
Teen Porn 15.jpg.pif
The Sims 4 beta.exe
Ulead Keygen 2004.exe
Visual Studio Net Crack all.exe
Win Longhorn re.exe
WinAmp 13 full.exe
Windows 2000 Sourcecode.doc.exe
Windows 2003 crack.exe
Windows XP crack.exe
WinXP eBook newest.doc.exe
XXX hardcore pics.jpg.exe
homeland520 2004-04-08
- 打赏
- 举报
我国出现“网络天空”新变种Worm_Netsky.P
国家计算机病毒应急处理中心通过对互联网的监测,发现"网络天空"出现又一变种。该变种通过邮件和共享文件夹进行传播,病毒驻留内存,修改注册表,在系统目录下创建文件,使用upx压缩。其在本地搜索邮箱地址时,排除了安全厂商及相关机构的邮箱地址,避免过早的被这些企业、机构得到样本。发送的附件格式为"附件名.txt(或 .doc)<很多连续的空格〉.exe(或.pif .scr .zip)",这样使用户误以为附件是文档文件。
病毒名称:Worm_Netsky.P("网络天空"病毒变种)
其它英文命名:网络天空变种P (Worm.NetSky.P) (金山)
Worm.NetSky.m (瑞星)
I-Worm/NetSky.p (江民)
W32/Netsky.p@MM (McAfee)
Win32.Netsky.P (Computer Associates),
NetSky.P (F-Secure),
W32/Netsky.P.worm (Panda),
W32/Netsky-P (Sophos),
WORM_NETSKY.P (Trend)
W32.Netsky.P@mm (Symantec)
感染系统:Windows 2000, Windows 95, Windows 98, Windows Me,
Windows NT,Windows Server 2003, Windows XP
病毒长度:29,568字节
病毒特征:
这种新的NETSKY变种通过邮件和共享文件夹进行传播,病毒驻留内存,修改注册表,在系统目录下创建文件,使用UPX压缩。
1、生成病毒文件
在%Windows%目录下生成FVPROTECT.EXE,USERCONFIG9X.DLL。
(其中,%Windows% 是Windows的默认文件夹,通常是 C:\Windows
或 C:\WINNT)
2、修改注册表项
病毒创建注册表项,使得自身能够在系统启动时自动运行,在
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下创建
Norton Antivirus AV = "%Windows%\FVProtect.exe"
3、病毒的传播
病毒通过电子邮件和网络共享传播(详细分析见附录一、二)
4、病毒运行
当病毒发出的邮件被阅读的时候,它利用包含不正确的MIME头漏洞的IE中已知的漏洞执行病毒。
手工清除该病毒的相关操作:
1、终止病毒进程
在Windows 9x/ME系统,同时按下CTRL+ALT+DELETE,在Windows NT/2000/XP系统中,同时按下CTRL+SHIFT+ESC,选择"任务管理器--〉进程",选中正在运行的进程"FVPROTECT.EXE",并终止其运行。
2、注册表的恢复
点击"开始--〉运行",输入regedit,运行注册表编辑器,依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ,并删除面板右侧的Norton Antivirus AV = "%Windows%\FVProtect.exe"
3、删除病毒释放的文件
点击"开始--〉查找--〉文件和文件夹",查找文件"FVPROTECT.EXE,USERCONFIG9X.DLL",并将找到的文件删除。
4、运行杀毒软件,对系统进行全面的病毒查杀
附录一: 通过电子邮件进行传播
病毒在被感染用户的系统内搜索以下扩展名的文件,找到电子邮件地址,并使用的自带的SMTP向这些地址发送带毒的电子邮件。
.adb
.asp
.cgi
.dbx
.dhtm
.doc
.eml
.htm
.html
.jsp
.msg
.oft
.php
.pl
.rtf
.sht
.shtm
.tbb
.txt
.uin
.vbs
.wab
.wsh
.xml
病毒发送的带毒电子邮件格式如下:
发件人:(可能不是真实的邮件地址,具有欺骗性的地址)
标题: (为下列之一)
Re: Encrypted Mail
Re: Extended Mail
Re: Status
Re: Notify
Re: SMTP Server
Re: Mail Server
Re: Delivery Server
Re: Bad Request
Re: Failure
Re: Thank you for delivery
Re: Test
Re: Administration
Re: Message Error
Re: Error
Re: Extended Mail System
Re: Secure SMTP Message
Re: Protected Mail Request
Re: Protected Mail System
Re: Protected Mail Delivery
Re: Secure delivery
Re: Delivery Protection
Re: Mail Authentification
Re: Encrypted Mail
Re: Extended Mail
Re: Status
Re: Notify
Re: SMTP Server
Re: Mail Server
Re: Delivery Server
Re: Bad Request
Re: Failure
Re: Thank you for delivery
Re: Test
Re: Administration
Re: Message Error
Re: Error
Re: Extended Mail System
Re: Secure SMTP Message
Re: Protected Mail Request
Re: Protected Mail System
Re: Protected Mail Delivery
Re: Secure delivery
Re: Delivery Protection
Re: Mail Authentification
内容: (以下列之一字符串开始)
Please confirm my request.
ESMTP [Secure Mail System #334]: Secure message
is attached.
Partial message is available. Waiting for a Response.
Please read the attachment.
First part of the secure mail is available.
For more details see the attachment.
For further details see the attachment.
Your requested mail has been attached.
Protected Mail System Test.
Secure Mail System Beta Test.
Forwarded message is available.
Delivered message is attached.
Encrypted message is available.
Please read the attachment to get the message.
Follow the instructions to read the message.
Please authenticate the secure message.
Protected message is attached.
?Waiting for authentification.
Protected message is available.
Bad Gateway: The message has been attached.
SMTP: Please confirm the attached message.
You got a new message.
Now a new message is available.
New message is available.
You have received an extended message. Please read
the instructions.
国家计算机病毒应急处理中心通过对互联网的监测,发现"网络天空"出现又一变种。该变种通过邮件和共享文件夹进行传播,病毒驻留内存,修改注册表,在系统目录下创建文件,使用upx压缩。其在本地搜索邮箱地址时,排除了安全厂商及相关机构的邮箱地址,避免过早的被这些企业、机构得到样本。发送的附件格式为"附件名.txt(或 .doc)<很多连续的空格〉.exe(或.pif .scr .zip)",这样使用户误以为附件是文档文件。
病毒名称:Worm_Netsky.P("网络天空"病毒变种)
其它英文命名:网络天空变种P (Worm.NetSky.P) (金山)
Worm.NetSky.m (瑞星)
I-Worm/NetSky.p (江民)
W32/Netsky.p@MM (McAfee)
Win32.Netsky.P (Computer Associates),
NetSky.P (F-Secure),
W32/Netsky.P.worm (Panda),
W32/Netsky-P (Sophos),
WORM_NETSKY.P (Trend)
W32.Netsky.P@mm (Symantec)
感染系统:Windows 2000, Windows 95, Windows 98, Windows Me,
Windows NT,Windows Server 2003, Windows XP
病毒长度:29,568字节
病毒特征:
这种新的NETSKY变种通过邮件和共享文件夹进行传播,病毒驻留内存,修改注册表,在系统目录下创建文件,使用UPX压缩。
1、生成病毒文件
在%Windows%目录下生成FVPROTECT.EXE,USERCONFIG9X.DLL。
(其中,%Windows% 是Windows的默认文件夹,通常是 C:\Windows
或 C:\WINNT)
2、修改注册表项
病毒创建注册表项,使得自身能够在系统启动时自动运行,在
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下创建
Norton Antivirus AV = "%Windows%\FVProtect.exe"
3、病毒的传播
病毒通过电子邮件和网络共享传播(详细分析见附录一、二)
4、病毒运行
当病毒发出的邮件被阅读的时候,它利用包含不正确的MIME头漏洞的IE中已知的漏洞执行病毒。
手工清除该病毒的相关操作:
1、终止病毒进程
在Windows 9x/ME系统,同时按下CTRL+ALT+DELETE,在Windows NT/2000/XP系统中,同时按下CTRL+SHIFT+ESC,选择"任务管理器--〉进程",选中正在运行的进程"FVPROTECT.EXE",并终止其运行。
2、注册表的恢复
点击"开始--〉运行",输入regedit,运行注册表编辑器,依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ,并删除面板右侧的Norton Antivirus AV = "%Windows%\FVProtect.exe"
3、删除病毒释放的文件
点击"开始--〉查找--〉文件和文件夹",查找文件"FVPROTECT.EXE,USERCONFIG9X.DLL",并将找到的文件删除。
4、运行杀毒软件,对系统进行全面的病毒查杀
附录一: 通过电子邮件进行传播
病毒在被感染用户的系统内搜索以下扩展名的文件,找到电子邮件地址,并使用的自带的SMTP向这些地址发送带毒的电子邮件。
.adb
.asp
.cgi
.dbx
.dhtm
.doc
.eml
.htm
.html
.jsp
.msg
.oft
.php
.pl
.rtf
.sht
.shtm
.tbb
.txt
.uin
.vbs
.wab
.wsh
.xml
病毒发送的带毒电子邮件格式如下:
发件人:(可能不是真实的邮件地址,具有欺骗性的地址)
标题: (为下列之一)
Re: Encrypted Mail
Re: Extended Mail
Re: Status
Re: Notify
Re: SMTP Server
Re: Mail Server
Re: Delivery Server
Re: Bad Request
Re: Failure
Re: Thank you for delivery
Re: Test
Re: Administration
Re: Message Error
Re: Error
Re: Extended Mail System
Re: Secure SMTP Message
Re: Protected Mail Request
Re: Protected Mail System
Re: Protected Mail Delivery
Re: Secure delivery
Re: Delivery Protection
Re: Mail Authentification
Re: Encrypted Mail
Re: Extended Mail
Re: Status
Re: Notify
Re: SMTP Server
Re: Mail Server
Re: Delivery Server
Re: Bad Request
Re: Failure
Re: Thank you for delivery
Re: Test
Re: Administration
Re: Message Error
Re: Error
Re: Extended Mail System
Re: Secure SMTP Message
Re: Protected Mail Request
Re: Protected Mail System
Re: Protected Mail Delivery
Re: Secure delivery
Re: Delivery Protection
Re: Mail Authentification
内容: (以下列之一字符串开始)
Please confirm my request.
ESMTP [Secure Mail System #334]: Secure message
is attached.
Partial message is available. Waiting for a Response.
Please read the attachment.
First part of the secure mail is available.
For more details see the attachment.
For further details see the attachment.
Your requested mail has been attached.
Protected Mail System Test.
Secure Mail System Beta Test.
Forwarded message is available.
Delivered message is attached.
Encrypted message is available.
Please read the attachment to get the message.
Follow the instructions to read the message.
Please authenticate the secure message.
Protected message is attached.
?Waiting for authentification.
Protected message is available.
Bad Gateway: The message has been attached.
SMTP: Please confirm the attached message.
You got a new message.
Now a new message is available.
New message is available.
You have received an extended message. Please read
the instructions.
jjwscn 2004-04-08
- 打赏
- 举报
好像是netsky病毒,找专杀工具,杀毒
homeland520 2004-04-08
- 打赏
- 举报
先断开网络,然后查毒!
homeland520 2004-04-08
- 打赏
- 举报
是网络天空变种病毒吧!
yonyon 2004-04-08
- 打赏
- 举报
防火墙设置禁止同局域网内机器连接和传输可以吗?
