2004年2月19日 瑞星率先截獲“網路天空”(Worm.Netsky.b),該病毒利用電子郵件和已分享資料夾傳播,傳播的速度極快;2月26日 網路天空變種C(Worm.NetSky.c)狂發毒信堵塞網路;3月2日 網路天空變種D/E(Worm.Netsky.d/e)爆發。反病毒專家破解了該蠕蟲病毒的文本信息,結果表明,網路天空病毒變種接二連三爆發,可能與BBeagle病毒作者之間正在展開的病毒戰有關。
基本介紹
- 中文名:網路天空病毒
- 外文名:Worm.Netsky.b
- 攔截時間:2004年2月19日
- 攔截軟體:瑞星
基本資料,傳播方式及危害,病毒—Worm.NetSky.B,病毒信息,系統修改,發作現象,病毒郵件,解決方案,病毒Worm.Netsky.c,病毒信息,技術特點,病毒Worm.Netsky.D,病毒信息,技術特點,解決方案,病毒Worm.Netsk.z,病毒信息,技術特點,解決方案,其他變種詳細介紹,作者相關報導,“網路天空”變種,18歲天才的牢獄之災,新版病毒韓國現身,
基本資料
病毒利用電子郵件和已分享資料夾傳播,傳播的速度極快。病毒利用自帶的SMTP郵件引擎對外傳送郵件,郵件傳送人隨機產生,標題可能為:hello、stolen、warning、unknown、fake,附屬檔案後綴:.scr、.com、.pif、.rtf、.doc、.htm、.exe等,附屬檔案即是病毒體。通過郵件傳播,使用UPX壓縮。運行後,在Windows%目錄下生成自身拷貝名為Winlogon. exe。病毒使用Word的圖示,並在已分享檔案夾中生成自身拷貝。病毒創建註冊表項,使得自身能夠在系統啟動時自動運行。病毒郵件的發信人、主題、內容和附屬檔案都不固定。
網路天空病毒
網路天空病毒傳播方式及危害
該病毒利用自帶的SMTP郵件引擎傳送,郵件傳送人隨機產生,標題可能為:hello、stolen、warning、
unknown、fake,附屬檔案後綴為:。scr、。com、。pif、。rtf、。doc、。htm、。exe等,附屬檔案即是病毒體。病毒會顯示虛假的訊息框“The file could not be opened!”,複製自己為系統。
網路天空病毒
網路天空病毒目錄下的services.exe檔案,修改註冊表實現自啟動。病毒會搜尋註冊表,如果發現“SCO炸彈”病毒留下的鍵值,則會刪除。另外病毒會從註冊表中刪除俄羅斯防毒軟體AVP的鍵值,企圖阻止該防毒軟體的自啟動,加大用戶的安全風險。
在硬碟上搜尋以eml、txt、htm等等結尾的十幾種檔案,從中提取電子郵件地址,用病毒體自帶的SMTP引擎向這些地址大量傳送帶毒郵件。帶毒郵件的大量傳播會嚴重消耗網路資源,甚至會影響企業的郵件伺服器。
病毒—Worm.NetSky.B
病毒信息
病毒名稱: Worm.NetSky.B
網路天空病毒
網路天空病毒病毒別名:“網路天空”[瑞星]
威脅級別: 4A
發現日期: 2004.02.19
病毒別名: W32/Netsky.b@MM [McAfee]
W32/Netsky.B.worm [Panda] 網路天空病毒
WORM_NETSKY.B [Trend Micro]
Moodown.B [F-Secure]
Worm.Moodown.b [Kaspersky]
病毒類型: 蠕蟲
受影響系統: Win9x/WinMe/WinNT/Win2000/WinXP/Win2003
能處理的毒霸版本: 2004年02月19日
系統修改
自我複製到Windows安裝目錄
%Windir%\services.exe;
在註冊表主鍵:
中添加如下鍵值:
"service" = "%Windir%\services.exe -serv"
在註冊表主鍵:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices中刪除如下鍵值:
"Taskmon" | "Explorer" |
在註冊表主鍵:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
中刪除如下鍵值:
網路天空病毒
網路天空病毒"KasperskyAV"
"System." 刪除以下註冊表鍵值:
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
在C糟到Z中搜尋名字中含有"Share"或"Sharing"字元串的資料夾。如果找到的資料夾不是CD-ROM, 則該病毒將它自己拷貝到該資料夾及其所有的字資料夾中,名字可能是以下所列名字列表中的一個:
doom2.doc.pif | sex sex sex sex.doc.exe | rfc compilation.doc.exe |
dictionary.doc.exe | win longhorn.doc.exe | e.book.doc.exe |
programming basics.doc.exe | how to hack.doc.exe | max payne 2.crack.exe |
e-book.archive.doc.exe | virii.scr | nero.7.exe |
eminem - lick my pussy.mp3.pif | cool screensaver.scr | serial.txt.exe |
office_crack.exe | hardcore porn.jpg.exe | angels.pif |
porno.scr | matrix.scr | photoshop 9 crack.exe |
strippoker.exe | dolly_buster.jpg.pif | winxp_crack.exe |
document | msg | doc | talk | message | creditcard | attachment | details | me | stuff |
posting | textfile | concert | information | note | aboutyou | swimmingpool | product | ps | shower |
topseller | found | story | nomoney | mails | website | friend | location | bill | jokes |
final | release | dinner | ranking | object | mail2 | part2 | disco | misc | party |
發作現象
The file could not be opened!
病毒郵件
A、會在以以下後綴結尾的檔案中查找Email地址:
.msg | .oft | .sht | .dbx | .tbb | .adb | .doc | .wab | .asp |
.uin | .rtf | .vbs | .html | .htm | .pl | .php | .txt | .eml |
B、使用其自帶的SMTP引擎將其自己作為附屬檔案傳送到以上找到的Email地址中,郵件具有以下特徵:
發件人:<;具有欺騙性地址>
網路天空病毒
網路天空病毒主題:(以下字元串之一)
hi | hello | warning | unknown | read it immediately |
fake | stolen | information | something for you |
正文:(以下字元串之一)
anything ok? | what does it mean? | read the details. |
ok | i'm waiting | here is the document. |
my hero | here | read it immediately! |
is that true? | is that your name? | is that your account? |
i wait for a reply! | is that from you? | you are a bad writer |
I have your password! | something about you! | kill the writer of this document! |
i hope it is not true! | your name is wrong | i found this document about you |
yes,really? | that is bad | here it is |
see you | greetings | something is going wrong! |
about me | from the chatter | here,the serials |
here,the introduction | here,the cheats | that's funny |
do you? | reply | take it easy |
about me | information about you | stuff about you? |
why? | thats wrong | misc |
you earn money | you feel the same | you try to steal |
you are bad | something is going wrong | something is fool |
附屬檔案名:(以下字元串之一)
creditcard | details | attachment | me | stuff | posting | textfile | concert | information |
bill | swimmingpool | product | topseller | ps | shower | aboutyou | nomoney | found |
mails | website | friend | jokes | final | location | release | dinner | ranking |
note | story | object | mail2 | part2 | disco | party | misc |
附屬檔案擴展名1:(以下字元串之一)
.txt | .rtf | .doc | .htm |
附屬檔案擴展名2:(以下字元串之一)
.exe | .scr | .com | .pif |
解決方案
請使用金山毒霸2004年02月19日的病毒庫可完全處理該病毒;
手工解決方案:
對於系統是Windows9x,WindowsMe:
步驟一,刪除病毒主程式
請使用乾淨的系統軟碟引導系統到純DOS模式,然後轉到系統目錄(默認的系統目錄為C:\windows),分別輸入以下命令,以便刪除病毒程式:
網路天空病毒
網路天空病毒C:\windows\>del services.exe
完畢後,取出系統軟碟,重新引導到Windows系統。
如果手中沒有系統軟體盤,可以在引導系統時按“F5”鍵也可進入純DOS模式。步驟二,清除病毒在註冊表里添加的項
打開註冊表編輯器: 點擊開始>;運行,輸入REGEDIT,按Enter;
在左邊的面板中,雙擊(按箭頭順序查找,找到後雙擊):
HKEY_LOCAL_MACHINE > Software > Microsoft > Windows > CurrentVersion>Run
在右邊的面板中,找到並刪除如下項目:
"service" = "%Windir%\services.exe -serv"
關閉註冊表編輯器。
對於系統是Windows NT,Windows2000,Windows XP,Windows 2003 sever:
步驟一,使用進程式管里器結束病毒進程
管理器中,單擊“進程”標籤,在例表欄內找到病毒進程“services.exe”,單擊“結束進程
按鈕”,點擊“是”,結束病毒進程,然後關閉“Windows任務管理器”;
步驟二,查找並刪除病毒程式
步驟三,清除病毒在註冊表里添加的項
打開註冊表編輯器: 點擊開始>;運行,輸入REGEDIT,按Enter;
網路天空病毒
網路天空病毒在左邊的面板中,雙擊(按箭頭順序查找,找到後雙擊):
HKEY_LOCAL_MACHINE > Software > Microsoft > Windows > CurrentVersion > Run
在右邊的面板中,找到並刪除如下項目:
"service" = "%Windir%\services.exe -serv"
關閉註冊表編輯器.
病毒Worm.Netsky.c
病毒信息
病毒名稱: Worm.Netsky.c
中文名稱: "網路天空"變種
威脅級別: 3A
病毒別名:W32.Netsky.c@MM [Symantec]
網路天空病毒
Worm.Moodown.c [Kaspersky]
WORM_NETSKY.C [Trend]
網路天空病毒
網路天空病毒病毒類型: 蠕蟲
受影響系統:Win9x/WinMe/WinNT/Win2000/WinXP/Win2003 此變種會繼續大量傳送病毒郵件,並且郵件主題、內容以及附屬檔案名稱改頭換面,使人更容易上當。更惡毒的是,它會搜尋受感染系統的A 到Z盤,查找名字包含"shar"的資料夾,如果查到,它會釋放一個病毒複本,使用工具軟體和破解軟體的名稱。這樣使病毒具備了通過P2P軟體 傳播和通過區域網路共享傳播的能力。而那些具有欺騙性的病毒複本名稱使人更容易中招。病毒的大量感染會造成更大量病毒郵件在網路中瘋狂傳播,嚴重浪費網路資源,最終導致郵件伺服器極不穩定,甚至癱瘓,對企業用戶的危 害十分大。以下是病毒的技術特點:
技術特點
將自己拷貝到 病毒進入系統後所存在的位置;
在以下主鍵
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
添加以下鍵值
"ICQ Net" = "%Windir%\winlogon.exe -stealth"
以便病毒可隨機自啟動
在%Windir% 目錄下生成ZIP包,包內就是病毒複本,病毒會將此包做為郵件的附屬檔案;
如本地系統時間在 2004.2.26 上午 6:00 到上午8:00間時,蠕蟲將導致計算機將不停的響鈴。
病毒會在硬碟中搜尋並收集電子郵件地址。
在所有非光碟的分區中檢查包含“shar”字樣的資料夾,然後將自己以下列可能的名字拷貝到找到的資料夾中,使病毒具備了通過P2P軟體傳播和通過區域網路共享傳播的能力。
病毒Worm.Netsky.D
病毒信息
病毒名稱: Worm.Netsky.D
中文名稱: 網路天空變種D
威脅級別: 3A
病毒別名: “網路天下”
WORM_NETSKY.D [Trend]
W32/Netsky@MM [McAfee] 網路天空病毒
W32/Netsky.D.worm [Panda]
W32/Netsky-D [Sophos]
Worm.Netsky.d [Kaspersky]
病毒類型: 蠕蟲
受影響系統: Win9x/Win2000/WinXP/Windows Server 2003
技術特點
⒈傳染條件:
利用郵件高速傳播,造成郵件服務不堪重負,出現不穩定或癱瘓的現象。2、系統修改
解決方案
B、手工解決方案
步驟一,刪除病毒主程式
請使用乾淨的系統軟碟引導系統到純DOS模式,
然後轉到WINDOWS安裝目錄(默認的安裝目錄為C:\windows\),輸入以下命令,以便刪除病毒程式:C:\windows\>del winlogon.exe
完畢後,取出系統軟碟,重新引導到Windows系統。
如果手中沒有系統軟體盤,可以在引導系統時按“F5”鍵也可進入純DOS模式。
步驟二,清除病毒在註冊表里添加的項
打開註冊表編輯器: 點擊開始>;運行,輸入REGEDIT,按Enter;
在左邊的面板中,雙擊(按箭頭順序查找,找到後雙擊):
HKEY_LOCAL_MACHINE>Software>Windows>CurrentVersion>Run
在右邊的面板中,找到並刪除如下項目:
"ICQ Net" = "%Windir%\winlogon.exe -stealth"
關閉註冊表編輯器.
對於系統是Windows NT,Windows2000,Windows XP,Windows 2003 sever
步驟一,使用進程式管里器結束病毒進程
右鍵單擊系統列,彈出選單,選擇“任務管理器”,調出“Windows任務管理器”視窗。在任務管理器中,單擊“進程”標籤,在例表欄內找到病毒進程“winlogon.exe”,單擊“結束進程按鈕”,點擊“是”,結束病毒進程,然後關閉“Windows任務管理器”。
步驟二,查找並刪除病毒程式
通過“我的電腦”或“資源管理器”進入安裝目錄(Winnt或windows),找到檔案“winlogon.exe ”,將它刪除,注意清空資源回收筒內的內容。
步驟三,清除病毒在註冊表里添加的項
在左邊的面板中,雙擊(按箭頭順序查找,找到後雙擊):
HKEY_LOCAL_MACHINE>Software>Windows>CurrentVersion>Run
在右邊的面板中,找到並刪除如下項目:
"ICQ Net" = "%Windir%\winlogon.exe -stealth"
關閉註冊表編輯器.
病毒Worm.Netsk.z
病毒信息
病毒名稱: Worm.Netsk.z
網路天空病毒實例
中文名稱: 網路天空變種Z
威脅級別: 3C
病毒別名:W32/Netsky.y@MM [McAfee]
WORM_NETSKY.Y [Trend]
Win32.Netsky.Y [Computer Associates]
W32/Netsky-X [Sophos]
W32.Netsky.Y@mm [Symantec]
病毒類型:蠕蟲
受影響系統: Windows 95,98,ME,NT,2000,XP 傳染條件:
⒈利用自身的SMTP發信引擎來傳送病毒郵件,瘋狂傳播自己;
⒉終於知名的反病毒軟體和安全軟體,降低系統安全性;
⒊開啟後門,等待攻擊者連線,可自動下載並執行新的病毒。
技術特點
⒈在註冊表主鍵:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下添加如下鍵值:
"Jammer2nd"="%Windir%\Jammer2nd.exe"
⒉拷貝自己到系統安裝目錄:
%SystemRoot%\Jammer2nd.exe
釋放N(N為隨機數)個它本身的MIME編碼的拷貝至系統安裝目錄:
%SystemRoot%\PK_ZIP_ALG.LOG
%WinDir%\PK_ZIP%n%.LOG (%n%為數字)
⒊創建一個名為"(S)(k)(y)(N)(e)(t)," 的互斥體,只允許起一個進程運行。
⒋監聽TCP 82連線埠,等待攻擊者傳送一個執行檔。一旦檔案下載完畢,該蠕蟲就會主動運行之。
⒌如果系統時間在2004年4月28日至2004年4月30日之間,該蠕蟲就會對以下網址發動DoS攻擊:
⒍會在C至Z盤(包括光碟機)中查找一下後綴的檔案中包含的Email地址:
.eml | .txt | .php | .cfg | .mbx | .mdx | .asp | .wab | .doc | .vbs | .rtf | .uin |
.shtm | .cgi | .dhtm | .abd | .tbb | .dbx | .pl | .html | .htm | .sht | .oft | .msg |
.ods | .stm | .xls | .jsp | .wsh | .xml | .mht | .mmf | .nch | .ppt |
⒎通過其自帶的SMTP引擎傳送一個它自身的拷貝到以及所有它搜尋到的Email地址。其傳送的郵件具有以下特徵:
發件人:
主題:
Hello | Important document! | Important | Important bill! | Important data! | Important details! |
Hi | Information | Important! | Important textfile! | Important notice! | Important informations! |
附屬檔案名:
Bill.zip | Details.zip | Informations.zip | Part-2.zip |
Data.zip | Important.zip | Notice.zip | Textfile.zip |
壓縮檔里的執行檔名為:
Bill.txt (many spaces) .exe | Details.txt (many spaces) .exe |
Data.txt (many spaces) .exe | Important.txt (many spaces) .exe |
Notice.txt (many spaces) .exe | Informations.txt (many spaces) .exe |
Part-2.txt (many spaces) .exe | Textfile.txt (many spaces) .exe |
⒏該蠕蟲會利用默認的DNS來轉換Email域名的IP,如果不成功,就會利用以下的DNS伺服器來進行解析:
212.185.252.73 | 217.5.97.137 | 194.25.2.129 | 193.193.144.12 |
212.185.253.70 | 212.7.128.162 | 194.25.2.133 | 213.191.74.19 |
212.185.252.136 | 212.7.128.165 | 194.25.2.134 | 151.189.13.35 |
194.25.2.129 | 193.193.158.10 | 193.141.40.42 | 195.185.185.195 |
194.25.2.130 | 194.25.2.131 | 145.253.2.171 | 212.44.160.8 |
195.20.224.234 | 194.25.2.132 | 193.189.244.205 |
解決方案
對於系統是Win9x/WinMe:
步驟一,刪除病毒主程式
請使用乾淨的系統軟碟引導系統到純DOS模式,然後轉到系統目錄(默認的系統目錄為
C:\windows),分別輸入以下命令,以便刪除病毒程式:
C:\windows\>del Jammer2nd.exe
C:\windows\>del PK_ZIP%n%.LOG (%n%為數字)
完畢後,取出系統軟碟,重新引導到Windows系統。
網路天空病毒高居榜首
如果手中沒有系統軟體盤,可以在引導系統時按“F5”鍵也可進入純DOS模式; 步驟二,清除病毒在註冊表里添加的項
在左邊的面板中,雙擊(按箭頭順序查找,找到後雙擊):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
在右邊的面板中,找到並刪除如下項目:
"FirewallSvr"="%Windir%\FirewallSvr.exe
關閉註冊表編輯器。
對於系統是Windows NT,Windows 2000,Windows XP,Windows 2003 Sever:
步驟一,使用進程式管里器結束病毒進程
右鍵單擊系統列,彈出選單,選擇“任務管理器”,調出“Windows任務管理器”視窗。在任
務管理器中,單擊“進程”標籤,在例表欄內找到病毒進程“Jammer2nd.exe”,單擊“結束
進程按鈕 ”,點擊“是”,結束病毒進程,然後關閉“Windows任務管理器”;
步驟二,查找並刪除病毒程式
通過“我的電腦”或“資源管理器”進入系統目錄(Winnt或windows),找到病毒主程式檔案
“FirewallSvr.exe、PK_ZIP%n%.LOG (%n%為數字)”,將它們刪除;
步驟三,清除病毒在註冊表里添加的項
打開註冊表編輯器: 點擊開始>;運行,輸入REGEDIT,按Enter;
在左邊的面板中,雙擊(按箭頭順序查找,找到後雙擊):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
在右邊的面板中,找到並刪除如下項目:
"FirewallSvr"="%Windir%\FirewallSvr.exe"
關閉註冊表編輯器.
其他變種詳細介紹
"Worm.NetSky.Y"蠕蟲分析報告
"Worm.NetSky.X"蠕蟲分析報告
"Worm.NetSky.T"蠕蟲分析報告
"Worm.NetSky.Q"蠕蟲分析報告
"Worm.NetSky.P"蠕蟲分析報告
"Worm.NetSky.M"蠕蟲分析報告
"Worm.NetSky.K"蠕蟲分析報告
作者相關報導
“網路天空”變種
2004年3月9日,瑞星全球病毒監測網國內率先截獲惡性病毒“網路天空”的第十一個變種,並命名為“網路天空變種K(Worm.Netsky.k)”病毒。在病毒程式夾帶的信息中,作者聲言不再對“網路天空”病毒進行重新編寫,這將是“網路天空”病毒的最後一個變種。
據瑞星反病毒工程師介紹,在病毒體裡病毒編寫者聲明:This is the last versi on of our antivirus。儘管作者可能會停止新版本病毒的編寫,但目前“網路天空”病毒的各個版本泛濫的趨勢只會趨緩而不太可能馬上停止。隨著反病毒軟體的升級,越來越多的用戶給自己的機器打上各種補丁,“網路天空”、“惡鷹”、“SCO炸彈”等等
網路天空病毒作者
從年初開始肆虐的病毒將會慢慢失去鋒芒。從病毒體裡的聲明來看,互相較量病毒編寫技巧、對垃圾郵件的不同態度造成了此次惡性病毒“三強爭霸”的局面。此次混戰中,普通計算機用戶遭受到了前所未有的重創,病毒傳送的大量垃圾郵件嚴重影響了網際網路的正常運行。
瑞星反病毒工程師提醒大家:即使病毒編寫者不再編寫新變種,也並不意味著病毒的早期版本會停止傳播,作為普通用戶,上網的時候開啟郵件即時監控也還是防止自己感染的好主意。
18歲天才的牢獄之災
2004年9月,德國警方正式對震盪波蠕蟲和網路天空病毒的作者Sven Jaschan提起訴訟,如果訴訟罪名成立,Sven Jaschan可能將面臨長達5年的牢獄生活。並且微軟公司正式對外界宣布,如果罪名成立,將會對檢舉Sven Jaschan的人支付25萬美元的獎金。如果有企業或者受病毒影響的用戶對於Sven Jaschan提起民事訴訟的話,結果將不可想像,Sven Jaschan的賠償金額將會達到天文數字。無論如何他都將為自己的行為付出代價,同時也警告了那些“天才”們,不要肆意傳播病毒。
比較有趣的是,Sven Jaschan的朋友Nigam,也就是告發Sven Jaschan的人也被懷疑編寫過病毒,並予以傳播,對於此訊息,警方正在調查。微軟公司說如果訊息屬實,希望知情人士踴躍予以揭發,微軟將樂意頒發獎金。
新版病毒韓國現身
反病毒研究人員在韓國已經發現了包含有與一所大學相關聯文字的新版本的“網路天空”蠕蟲病毒。
歐洲反病毒廠商F-Secure公司的反病毒調研主任Mikko Hypponen表示,與以往不同的是,最近版本的“網路天空”蠕蟲病毒包含有“SoonChunHyang”和“Bucheon”兩個字元串。Hypponen說:“在韓國的Bucheon市有一所名為SoonChunHyang大學,因此我猜測這個病毒變種大概與韓國有關”。
據反病毒廠商Sophos公司表示,原來的“網路天空”病毒是Sven 編寫的,據Sven交代的可靠材料表明,今年前半年全部的病毒感染有70%是他編寫的。今年五月Sven 已被德國的警察機關監禁,據警方稱Sven 已經承認他編寫了“網路天空”和“震盪波”兩種蠕蟲病毒。在他五月被逮捕以前,至少出現了25個“網路天空”病毒變種和一個掃描網路連線埠的“震盪波”蠕蟲病毒。
