WORM_NETSKY.B全球病毒中度风险警报

互联网 | 编辑: 2004-02-19 00:00:00

TrendLabs已经收到多个WORM_NETSKY.B的报告,为控制该病毒的传播,TrendLabs于2004年2月18日晚间发布了全球病毒中度风险警报

TrendLabs目前接收到大量WORM_NETSKY.B的感染报告,该病毒正在迅速传播。

趋势科技中国在此通知您,

请密切关注[WORM_NETSKY.B]病毒。

————————————————————
病毒种类: Worm

具破坏性: 不会

病毒名称:[WORM_NETSKY.B]

别名: W32.Netsky.B@mm, Win32.Netsky.B, 网络天下, W32/Netsky-B, I-Worm.Moodown.B, W32/Netsky.b@MM, Moodown.B

需要的趋势病毒码更新版本:PC-cillin Virus Pattern File 769

病毒描述:

2004218日,太平洋标准时间上午436,趋势科技收到关于新病毒正在日本和德国传播的报告。这种被检测为WORM_NETSKY.B的病毒通过电子邮件进行传播。

该病毒在执行的时候拥有两个扩展名,使用Word的图标,它在Kazaa共享文件夹中生成自身拷贝。

病毒发出的电子邮件有如下细节特征:

From:使用虚假地址。从获得的地址列表中选择。

Subject: (其中之一)
hi
hello
read it immediately
something for you
warning
information
stolen
fake
unknown

Message body: (其中之一)
anything ok?
what does it mean?
ok
i'm waiting
read the details.
here is the document.
read it immediately!
my hero
here
is that true?
is that your name?
is that your account?
i wait for a reply!
is that from you?
you are a bad writer
I have your password!
something about you!
kill the writer of this document!
i hope it is not true!
your name is wrong
i found this document about you
yes, really?
that is bad
here it is
see you
greetings
stuff about you?
something is going wrong!
information about you
about me
from the chatter
here, the serials
here, the introduction
here, the cheats
that's funny
do you?
reply
take it easy
why?
thats wrong
misc
you earn money
you feel the same
you try to steal
you are bad
something is going wrong
something is fool

Attachment:
文件名为其中之一:
document
msg
doc
talk
message
creditcard
details
attachment
me
stuff
posting
textfile
concert
information
note
bill
swimmingpool
product
topseller
ps
shower
aboutyou
nomoney
found
story
mails
website
friend
jokes
location
final
release
dinner
ranking
object
mail2
part2
disco
party
misc


第一扩展名(可能不显示出来)为其中之一:
TXT
RTF
DOC
HTM

 

第二扩展名为其中之一:
SCR
COM
PIF
EXE

这种UPX压缩的病毒运行在Windows 95, 98, ME, NT, 2000, XP系统上。


————————————————————

解决方案:

辨别病毒程序

在进行病毒清除前,首先辨别该病毒程序。

使用趋势科技的防病毒产品扫描你的系统。记录下检测出的所有 WORM_NETSKY.B 文件。趋势科技的用户在扫描系统前应该下载最新病毒码。

结束病毒程序

该操作结束内存中运行的病毒进程。你需要刚才记录下的文件名。

1. 打开Windows任务管理器.
Windows 95/98/ME 系统上, 按下
CTRL+ALT+DELETE
Windows NT/2000/XP 系统上, 按下
CTRL+SHIFT+ESC, 并点击进程标签
2. 在运行的程序列表中,找到刚才记录下的文件名
3. 选择病毒进程,根据系统的Windows版本,按下结束任务或结束进程按钮。 
4. 对运出进程列表中所有的病毒文件执行相同的操作 
5. 关闭任务管理器,再重新打开,检查病毒进程是否结束 
6. 关闭任务管理器

*注意: 系统上运行的如果是Windows 9x/98/ME, 任务管理器可能不会显示某些进程。你需要其它的进程管理器来结束病毒进程。否则,继续下面操作的同时,注意附加提示。 

从注册表中删除自动运行键 

删除注册表中的自动运行键可以防止病毒在每次系统启动的时候运行: 

1. 打开注册表编辑器。点击 Start>Run, 敲入 Regedit,然后回车 
2. 在左边的面板,双击下面的项目:
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run 
3. 在右边的面板中,找到并删除下面的键:
service = %Windows%\services.exe -serv 
4. 在左边的面板,双击下面的项目:
HKEY_CLASSES_ROOT>CLSID>{E6FB5E20-DE35-11CF-9C87-00AA005127ED}
5. 仍旧在左边的面板,右击并删除如下子键:
InProcServer32 
6. 仍旧在左边的面板,找到并双击如下:
InProcServer32 
7. 在右边的面板中,双击(Default)项目,将其值改为:
%System%\WEBCHECK.DLL 
8. 关闭注册表编辑器

注意:如果按照上面操作仍不能结束内存中运行的病毒进程,请重启你的系统。

相关阅读

每日精选

点击查看更多

最新快讯

热门文章

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑