NetSky蠕虫病毒样本分析报告

病毒名称:蠕虫。Win32.NetSky.c
病毒类型:蠕虫类

MD5:fac 9 D5 a7 a 971 cc 4399 F3 AC 1809 f 9

文件长度:7168字节

感染:Windows98或以上版本

开发工具:微软Visual C++ 6.0

贝壳类型:UPX 0.89.6-1.02/1.05-1.22

病毒描述:

病毒是一种蠕虫。运行后，病毒会将自身复制到系统目录并删除自身。创建一个服务，达到随机启动为服务的目的。修改注册表，更改Internet设置中的默认路径，并将当前用户文件夹更改为LocalService文件夹。这种病毒可以窃取用户的敏感信息。

行为分析:

本地行为:

1.文件运行后将派生出以下文件

%System32%\(病毒名称)7，168字节

2.创建一个服务，通过服务的方式达到随机启动的目的:

服务名称:盘古服务名称

名称:盘古2007最新版服务器

描述:盘古2007最新版服务器

路径:%System32%\(病毒名称)

启动模式:自动

3.修改注册表，更改Internet设置中的默认路径，并将当前用户文件夹更改为LocalService文件夹。

4.该病毒可以窃取用户的敏感信息。

注意事项:

%Windir% WINDODWS目录

%DriveLetter%逻辑驱动器根目录

%ProgramFiles%系统程序的默认安装目录

%HomeDrive%当前启动系统所在的分区。

%文档和设置%当前用户的文档根目录

%Temp%当前用户临时缓存变量；路径是:

%文档和设置%\当前用户\本地设置\临时

%System32%是一个变量路径；

该病毒通过查询操作系统来确定当前System32文件夹的位置；

Windows2000/NT中的默认安装路径是C:\ win NT \ system32；

Windows95/98/Me中的默认安装路径是C:\ windows \ system；

Windows中的默认安装路径是C: \ Windows \ system32。

清除方案:

1.使用安田木马防线可以彻底清除此病毒(推荐)。请从www.antiy.com安田网站下载。

2.手动清理。请根据行为分析删除相应文件，并恢复相关系统设置。建议使用ATool(安田安全管理工具)。ATool的下载地址是www.antiy.com或者http://www.antiy.com/download/index.htm.

(1)使用安田木马防御或ATool中的“进程管理”关闭病毒进程。

(2)强行删除病毒文件

%System32%\(病毒名称)

(3)禁用盘古服务名称