NetSky蠕虫病毒样本分析报告
病毒名称:蠕虫。Win32.NetSky.c
病毒类型:蠕虫类
MD5:fac 9 D5 a7 a 971 cc 4399 F3 AC 1809 f 9
文件长度:7168字节
感染:Windows98或以上版本
开发工具:微软Visual C++ 6.0
贝壳类型:UPX 0.89.6-1.02/1.05-1.22
病毒描述:
病毒是一种蠕虫。运行后,病毒会将自身复制到系统目录并删除自身。创建一个服务,达到随机启动为服务的目的。修改注册表,更改Internet设置中的默认路径,并将当前用户文件夹更改为LocalService文件夹。这种病毒可以窃取用户的敏感信息。
行为分析:
本地行为:
1.文件运行后将派生出以下文件
%System32%\(病毒名称)7,168字节
2.创建一个服务,通过服务的方式达到随机启动的目的:
服务名称:盘古服务名称
名称:盘古2007最新版服务器
描述:盘古2007最新版服务器
路径:%System32%\(病毒名称)
启动模式:自动
3.修改注册表,更改Internet设置中的默认路径,并将当前用户文件夹更改为LocalService文件夹。
4.该病毒可以窃取用户的敏感信息。
注意事项:
%Windir% WINDODWS目录
%DriveLetter%逻辑驱动器根目录
%ProgramFiles%系统程序的默认安装目录
%HomeDrive%当前启动系统所在的分区。
%文档和设置%当前用户的文档根目录
%Temp%当前用户临时缓存变量;路径是:
%文档和设置%\当前用户\本地设置\临时
%System32%是一个变量路径;
该病毒通过查询操作系统来确定当前System32文件夹的位置;
Windows2000/NT中的默认安装路径是C:\ win NT \ system32;
Windows95/98/Me中的默认安装路径是C:\ windows \ system;
Windows中的默认安装路径是C: \ Windows \ system32。
清除方案:
1.使用安田木马防线可以彻底清除此病毒(推荐)。请从www.antiy.com安田网站下载。
2.手动清理。请根据行为分析删除相应文件,并恢复相关系统设置。建议使用ATool(安田安全管理工具)。ATool的下载地址是www.antiy.com或者http://www.antiy.com/download/index.htm.
(1)使用安田木马防御或ATool中的“进程管理”关闭病毒进程。
(2)强行删除病毒文件
%System32%\(病毒名称)
(3)禁用盘古服务名称
位律师回复
0条评论