3月4日,瑞星全球反病毒监测网在国内率先截获“网络天空”病毒的最新变种F—“网络天空变种F(Worm.NetSky.F)”,该病毒是一个通过邮件传播的蠕虫病毒,特性如下:
一、病毒评估:
1.病毒危险等级:★★★★☆
2.病毒类型:蠕虫病毒
3.病毒传播途径:网络/邮件
4.病毒依赖系统:WINDOWS9X/NT/2000/XP/Server2003
二、病毒特性:
1.该病毒采用PE Pack v1.0压缩,用VC++广语言编写。
2.病毒会在本地首先将创建一个名为:"LK[SkyNet.cz]SystemsMutex"的互斥量来保证只运行病毒的一个副本。
3.病毒体内有如下字符串: "Skynet AntiVirus - Bagle - you are a looser!!!!"。
4.病毒运行时会复制自己到windows目录下为:%WINDIR%\svchost.exe。
5.病毒会添加如下键值:"Zone Labs Client Ex" = "%WINDIR%\svchost.exe -antivirus service"到注册表键:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下,这是病毒用来进行自启动的。
6. 病毒会删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下其它病毒建立的键值:"Taskmon","Explorer","KasperskyAV","system.","msgsvr32","DELETE ME","service","Sentry","Windows Service Host"。
病毒会删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下的如下键值:"Explorer","KasperskyAV","system.","d3dupdate.exe","au.exe","OLE","Windows Service Host","gouday.exe","rate.exe","sysmon.exe"。注:其中:"KasperskyAV"是病毒小邮差变种T(Worm.Mimail.t)建立的键值。
病毒会删除:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\PINF
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WksPatch
下的子键:HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32,注:这是病毒"SCO炸弹"建立的键值。
三、病毒破坏:
1.发送大量病毒邮件。
病毒会从带有下列扩展名的文件中搜索Email地址:".eml"、".txt"、".php"、".pl"、".htm"、".html"、".vbs"、".rtf"、".uin"、
".asp"、".wab"、".doc"、".adb"、".tbb"、".dbx"、".sht"、".oft"、".msg"、
".dhtm"、".cgi" 、".shtm",然后使用自带的SMTP引擎向上面搜到的Email地址发送带毒邮件。
病毒邮件标题为下列之一:
"Re: Re: Document"
"Re: Re: Thanks!"
"Re: Thanks!"
"Re: Your document"
"Re: Here is the document"
"Re: Your picture"
"Re: Re: Message"
"Re: Hi"
"Re: Hello"
"Re: Re: Re: Your document"
"Re: Here"
"Re: Your music"
"Re: Your software"
"Re: Approved"
"Re: Details"
"Re: Excel file"
"Re: Word file"
"Re: My details"
"Re: Your details"
"Re: Your bill"
"Re: Your text"
"Re: Your archive"
"Re: Your letter"
"Re: Your product"
"Re: Your website"
消息正文为下列之一:
"Your document is attached."
"Here is the file."
"See the attached file for details."
"Please have a look at the attached file"
"Please read the attached file."
"Your file is attached.
附件名为下列之一:
"your_document.pif"
"document.pif"
"message_part2.pif"
"your_document.pif"
"document_full.pif"
"your_picture.pif"
"message_details.pif"
"your_file.pif"
"your_picture.pif"
"document_4351.pif"
"yours.pif"
"mp3music.pif"
"application.pif"
"all_document.pif"
"my_details.pif"
"document_excel.pif"
"document_word.pif"
"my_details.pif"
"your_details.pif"
"your_bill.pif"
"your_text.pif"
"your_archive.pif"
"your_letter.pif"
"your_product.pif"
"your_website.pif"
该病毒不会向包含下列字眼的地址发送邮件:
"icrosoft"
"antivi"
"ymantec"
"spam"
"avp"
"f-secur"
"itdefender"
"orman"
"cafee"
"aspersky"
"f-pro"
"orton"
"fbi"
"abuse"
"messagelabs"
"skynet"
"andasoftwa"
"freeav"
"sophos"
"antivir"
"iruslis"
2.使扬声器发声。
在2004年3月2日的上午6:00-9:00,病毒将使系统的扬声器发声,频率随机。
四、病毒解决方案:
1.进行紧急升级。
瑞星公司将于3月4日当天进行紧急升级,升级后的软件版本号为16.16.11,该版本的瑞星杀毒软件可以彻底查杀“网络天空”病毒,瑞星杀毒软件标准版和网络版的用户可以直接登陆瑞星网站(http://www.rising.com.cn/)下载升级包进行升级,或者使用瑞星杀毒软件的智能升级功能。
2.使用专杀工具。
由于该病毒的特性,瑞星公司还为手中暂时没有杀毒软件的用户提供了免费的病毒专杀工具,用户可以到:http://it.rising.com.cn/service/technology/tool.htm网址进行免费下载,并进行该病毒的清除。
3.使用在线杀毒和下载版。
用户还可以使用瑞星公司的在线杀毒与下载版产品清除该病毒,这两款产品是通过手机付费使用的,用户可以登陆:http://online.rising.com.cn/使用在线杀毒产品,或者登陆:http://go.rising.com.cn/使用下载版产品。
4.打电话求救。
如果遇到关于该病毒的其它问题,用户可以随时拨打瑞星反病毒急救电话:010-82678800来寻求反病毒专家的帮助!
五、安全建议:
1.建立良好的安全习惯。例如:对一些来历不明的邮件及附件不要打开,不要上一些不太了解的网站、不要执行从 Internet 下载后未经杀毒处理的软件等,这些必要的习惯会使您的计算机更安全。
2.关闭或删除系统中不需要的服务。默认情况下,许多操作系统会安装一些辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便,而又对用户没有太大用处,如果删除它们,就能大大减少被攻击的可能性。
3.经常升级安全补丁。据统计,有80%的网络病毒是通过系统安全漏洞进行传播的,象红色代码、尼姆达等病毒,所以我们应该定期到微软网站去下载最新的安全补丁,以防范未然。
4.使用复杂的密码。有许多网络病毒就是通过猜测简单密码的方式攻击系统的,因此使用复杂的密码,将会大大提高计算机的安全系数。
5.迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网,以防止计算机受到更多的感染,或者成为传播源,再次感染其它计算机。
6.了解一些病毒知识。这样就可以及时发现新病毒并采取相应措施,在关键时刻使自己的计算机免受病毒破坏:如果能了解一些注册表知识,就可以定期看一看注册表的自启动项是否有可疑键值;如果了解一些内存知识,就可以经常看看内存中是否有可疑程序。
7.最好是安装专业的防毒软件进行全面监控。在病毒日益增多的今天,使用杀毒软件进行防毒,是越来越经济的选择,不过用户在安装了反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控)、遇到问题要上报, 这样才能真正保障计算机的安全。