W32.Netsky.C@mm

W32.Netsky.B ，該蠕蟲會搜索驅動器 C 到 Z，查找名稱中包含 "Shar" 的文件夾，然後將自己複製到這些文件夾中。

主題、正文和電子郵件附件無一定之規。

發現： 2004 年 2 月 24 日

更新： 2007 年 2 月 13 日 12:21:25 PM

別名： W32/Netsky.c@MM [McAfee], Win32.Netsky.C [Computer Assoc], W32/Netsky-C [Sophos], WORM_NETSKY.C [Trend], I-Worm.Moodown.c [Kaspersky], I-Worm.NetSky.c [Kaspersky], W32/Netsky.C.worm [Panda]

類型: Worm

感染長度： 25,352 bytes

受感染的系統： Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

注意：

* 賽門鐵克擁有蠕蟲禁止功能的單機版產品可以在這個蠕蟲試圖傳播的時候自動將其探測出來。

* 日期為 2004 年 2 月 24 日的病毒定義修訂版 32（20040224.032 或定義版本 60224af）或更高版本可以檢測到此威脅。

* 賽門鐵克安全響應中心開發了一種殺毒工具，可用來清除 W32.Netsky.C@mm 感染。

蠕蟲散佈的此類電子郵件具有以下特徵：

發件人：<欺騙性地址>

主題：（下列之一）

o Delivery Failed

o Status

o report

o question

o trust me

o hey

o Re: excuse me

o read it immediatelly

o hi

o Re: does it?

o Yep

o important

o hello

o dear

o Re: unknown

o fake?

o warning

o moin

o what's up?

o info

o Re: information

o Here is it

o stolen

o private?

o good morning

o illegal...

o error

o take it

o re:

o Re: Re: Re: Re:

o you?

o something for you

o exception

o Re: hey

o excuse me

o Re: hi

o Re: does it?

o Re: important

o Re: hello

o believe me

o Question

o denied!

o notification

o Re: <5664ddff?$??º2>

o lol

o last chance!

o I'm back!

o its me

o notice!

消息：（下列之一）

o <Deliver Error>

o <Message Error>

o <Server Error>

o what means that?

o help attached

o <...>

o ok...

o <Attachment from Poland>

o that is interesting...

o i wait for your comment about it.

o such as yours?

o read the details.

o gonna?

o here is the document.

o *lol*

o read it immediately!

o i found that about you!

o your hero in the picture?

o yours?

o here is it.

o illegal st. of you?

o is that true?

o account?

o is that your name?

o picture?

o message?

o is that your account?

o pwd?

o I wait for an answer!

o abuse?

o is that yours?

o you are a bad writer

o I don't know your document!

o <Mail failed>

o I have your password!

o you won the rk!

o something about you!

o classroom test of you?

o kill the writer of this document!

o old photos about you?

o i hope thats not true!

o your name is wrong!

o does it match?

o i found this document about you.

o time to fear?

o really?

o do you know this????

o i know your document!

o did you sent it to me?

o this file is bad!

o why should I?

o pages?

o her.

o another pic, have fun! ...

o test it

o child porn?

o greetings

o xxx ?

o stuff about you?

o your document is not good

o something is going wrong!

o your photo is poor

o information about you?

o the information is wrong!

o doc about me?

o kill him on the picture!

o from the chatter (my photo!)

o from your lover

o love letter?

o here, the serials

o are you a teacherin the picture?

o here, the introduction

o is that criminal?

o here, the cheats

o i like your doc!

o what do you think about it?

o that's a funny text.

o that's not the truth?

o do you have?

o instruct me about this!

o i lost that

o i am speachless about your document!

o is that the reality?

o reply

o msg

o your design is not good!

o important?

o your TAN number?

o take it easy!

o why?

o you are naked in this document!

o thats wrong!

o your icq number?

o i am desperate

o modifications?

o your personal record?

o yes.

o misc. and so on. see you!

o your attachment? verify it.

o you earn money, see the attachment!

o is that your attachment?

o is that your website?

o you feel the same.

o meaning of that?

o possible?

o you have tried to steal!

o did you ask me for that?

o you are bad

o your job? (I found that!)

o is that possible?

o something is going ...

o something is not ok

o did you know from this document?

o wrong calculation!（see the attachment!...）

o never!

o poor quality!

o good work!

o excellent!

o great!

o i don't think so.

o pretty pic about you?

o docs?

o schoolfriend?

o <Warning from the Government>

o <09580985869gj>

o <?>

o i want more...

o here is the next one!

o attachi#

o did you see her already?

o is that your wife?

o is that your creditcard?

o is that your photo?

o do you think so?

o do you have the bug also?

o already?

o forgotten?

o drugs? ...

o does it matter?

o i have received this.

o best?

o the truth?

o your body?

o your eyes?

o your face?

o File is self-decryting.

o File is damaged.

o File is bad.

o i saw you last week!

o xxx service

o your account is expired!

o you cannot hide yourself! (see photo)

o copyright?

o what still?

o who?

o how?

o <bad gateway>

o only encrypted!

o personal message!

o my advice....

o i've found it about you

o <<<Failure>>>

o <Attached Msg>

o <scanned by norton antivirus>

o great xxx!

o man or women?

o child or adult?

o here is yours!

o a crazy doc about you

o xxx about you?

o i don't want your xxx pics!

o <Failed message available>

o <Automailer>

o doc?

o trial?

o what?

o i need you!

o correct it!

o see this!

o it's a secret!

o this is nothing for kids!

o it's so similar as yours!

o is that your car?

o do not give up!

o great job!

o here is the $%%454$

o you are sexy in this doc!

o incest?

o let it!

o you look like an ape!

o you look like an rat?

o be mad?

o are you cranky?

o bob the builder

o did you know that?

o money?

o is that your car?

o is this information about you?

o is that your privacy?

o is that your TAN?

o is that your message?

o is that your cd?

o is that your finger?

o your are naked?

o is that your porn pic?

o is that your work?

o is that your family?

o is that your beast?

o is that your account?

o is that your slip?

o is that your domain?

o are you the naked one?

o are you the naked person!

o are you the one?

o does it belong to you?

o do you have sex in the picture?

o you have a sexy body in the pic!

o your lie is going around the world!

o <Transfer complete>

o <Antispam complete>

o lets talk about it!

o do you know the thief?

o are you a photographer?

o you have done a mistake in the document...

o its private from me

o do not show this anyone!

o new patch is available!

o this is an attachment message!

o in your mind?

o Microsoft

o fast food...

o Your bill.

o try this patch!

o do you have an orgasm in the picture?

o <Click the attachment to decrypt>

o <Attachment Signature 34933920>

o Transaction failed. Show the doc!

o I 've found your bill!

o see your name!

o You are infected. Read the details!

o here is my advice.

o here is my photo!

o here is the <censored>

o feel free to use it.

o does it belong to you?

o Login required! Read the attachment!

o your document is silly!

o is the pic a fake?

o Antispam is turned off. See file!

o Authentification required. Read the att...

o solve the problem!

o <null>

o do not use my document!

o do not open the attachment!

o do not visit the pages on the list I se...

o explain!

o tell me more about your document!

o Your provider will be disabled!

o Instant patches.

附件：

W32.Netsky.C@mm 會在 51.5% 的情況下創建一個 .zip 文件，其中會包含一個蠕蟲自身的備份。這兩個文件名都是隨機從下面的列表中選取。

其它情況下，蠕蟲會創建一個可執行文件作為附件。附件名為下列之一。

附件名：

o document

o associal

o msg

o yours

o doc

o wife

o talk

o message

o response

o creditcard

o description

o details

o attachment

o pic

o me

o trash

o card

o stuff

o poster

o posting

o portmoney

o textfile

o moonlight

o concert

o sexy

o information

o news

o note

o number_phone

o bill

o mydate

o swimmingpool

o class_photos

o product

o old_photos

o topseller

o ps

o important

o shower

o myaunt

o aboutyou

o yours

o nomoney

o birth

o found

o death

o story

o worker

o mails

o letter

o more

o website

o regards

o regid

o friend

o unfolds

o jokes

o doc_ang

o your_stuff

o location

o 454543403

o final

o schock

o release

o webcam

o dinner

o intimate stuff

o sexual

o ranking

o object

o secrets

o mail2

o attach2

o part2

o msg2

o disco

o freaky

o visa

o party

o material

o misc

o nothing

o transfer

o auction

o warez

o undefinied

o violence

o update

o masturbation

o injection

o naked1

o naked2

o tear

o music

o paypal

o id

o privacy

o word_doc

o image

o incest

附件擴展名：

如果附件是可執行文件，蠕蟲會在 53.8% 的情況下創建一個附加擴展名。如果附件是一個 .zip 文件，.zip 中的可執行文件會在 33% 的情況下擁有一個附加擴展名。不同的擴展名可能包括下列之一：

o .txt

o .rtf

o .doc

o .htm

所有的可執行文件的擴展名會為下列之一：

o .exe

o .scr

o .com

o .pif

防護

* 病毒定義（每週 LiveUpdate™） 2004 年 2 月 25 日

* 病毒定義（智能更新程序） 2004 年 2 月 25 日

威脅評估

廣度

* 廣度級別： Medium

* 感染數量： More than 1000

* 站點數量： More than 10

* 地理位置分佈： Low

* 威脅抑制： Easy

* 清除： Moderate

損壞

* 損壞級別： Low

* 大規模發送電子郵件： Sends itself to email addresses found in files whose suffix contains one of the following extensions: .adb, .asp, .cgi, .dbx, .dhtm, .doc, .eml, .htm, .html, .msg, .oft, .php, .pl, .rtf, .sht, .shtm, .tbb, .txt, .uin, .vbs, and .wab

分發

* 分發級別： High

* 電子郵件的主題： varies

* 附件名稱： varies with .com, .exe, .pif, or .scr file extension

* 附件大小： 25,352 bytes

* 共享驅動器： Searches drives C through Y for folder names containing "Shar" and then copies itself to those folders.

When W32.Netsky.C@mm 運行時會執行下列操作：

1. 創建名為“[SkyNet.cz]SystemsMutex”的互斥體。此互斥體僅允許該蠕蟲的一個實例在內存中執行。

2. 將自身複製為 %Windir%\Winlogon.exe。

注意：% 是一個通配符，%Windir% 是一個變量，代表的 Windows 安裝文件夾（默認為 C:\Windows 或 C:\Winnt，因操作系統而異），該蠕蟲會找到 Windows 安裝文件夾，然後將自身複製到其中。

3. 將值：

"ICQ Net" = "%Windir%\winlogon.exe -stealth"

添加到註冊表鍵：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

這樣，此蠕蟲便可在 Windows 啓動時運行。

4. 將值：

* Sentry

* OLE

* service

* au.exe

* d3dupdate.exe

* DELETE ME

* msgsvr32

* Taskmon

* Explorer

* Windows Services Host

從以下注冊表鍵刪除：

* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

* HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\

RunServices

5. 將值：

* "KasperskyAV"

* "System."

從以下注冊表鍵刪除：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

注意：蠕蟲 W32.Mimail.T@mm 會加入註冊鍵 "KasperskyAV"。

6. 刪除註冊表鍵：

HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\

InProcServer32

7. 從具有以下文件擴展名的文件檢索電子郵件地址：

* .eml

* .txt

* .php

* .pl

* .htm

* .html

* .vbs

* .rtf

* .uin

* .asp

* .wab

* .doc

* .adb

* .tbb

* .dbx

* .sht

* .oft

* .msg

* .shtm

* .cgi

* .dhtm

8. 搜索驅動器 C 到 Z，查找名稱中包含“Shar”的文件夾。 如果驅動器不是 CD-ROM，蠕蟲會使用下列名字將自己複製到這些文件夾中。

* Microsoft WinXP Crack.exe

* Teen Porn 16.jpg.pif

* Adobe Premiere 9.exe

* Adobe Photoshop 9 full.exe

* Best Matrix Screensaver.scr

* Porno Screensaver.scr

* Dark Angels.pif

* XXX hardcore pic.jpg.exe

* Microsoft Office 2003 Crack.exe

* Serials.txt.exe

* Screensaver.scr

* Full album.mp3.pif

* Ahead Nero 7.exe

* Virii Sourcecode.scr

* E-Book Archive.rtf.exe

* Doom 3 Beta.exe

* How to hack.doc.exe

* Learn Programming.doc.exe

* WinXP eBook.doc.exe

* Win Longhorn Beta.exe

* Dictionary English - France.doc.exe

* RFC Basics Full Edition.doc.exe

* 1000 Sex and more.rtf.exe

* 3D Studio Max 3dsmax.exe

* Keygen 4 all appz.exe

* Windows Sourcecode.doc.exe

* Norton Antivirus 2004.exe

* Gimp 1.5 Full with Key.exe

* Partitionsmagic 9.0.exe

* Star Office 8.exe

* Magix Video Deluxe 4.exe

* Clone DVD 5.exe

* MS Service Pack 5.exe

* ACDSee 9.exe

* Visual Studio Net Crack.exe

* Cracks & Warez Archive.exe

* WinAmp 12 full.exe

* DivX 7.0 final.exe

* Opera.exe

* IE58.1 full setup.exe

* Smashing the stack.rtf.exe

* Ulead Keygen.exe

* Lightwave SE Update.exe

* The Sims 3 crack.exe

9. 使用它自己的 SMTP 引擎將其自身發送到在上述位置找到的電子郵件地址。 此類電子郵件有以下特徵請參閲本文最後的“其它信息”部分。

10. 在 %Windir% 文件夾中創建 40 個包含蠕蟲副本的 .zip 文件。這些文件的名稱符合上述附件名。

賽門鐵克安全響應中心建議所有用户和管理員遵循以下基本安全“最佳實踐”：

* 禁用並刪除不需要的服務。 默認情況下，許多操作系統會安裝不必要的輔助服務，如 FTP 服務器、telnet 和 Web 服務器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除，混合型威脅的攻擊途徑會大為減少，同時您的維護工作也會減少，只通過補丁程序更新即可完成。

* 如果混合型威脅攻擊了一個或多個網絡服務，則在應用補丁程序之前，請禁用或禁止訪問這些服務。

* 始終安裝最新的補丁程序，尤其是那些提供公共服務而且可以通過防火牆訪問的計算機，如 HTTP、FTP、郵件和 DNS 服務（例如，所有基於 Windows 的計算機上都應該安裝最新的 Service Pack）。. 另外，對於本文中、可靠的安全公告或供應商網站上公佈的安全更新，也要及時應用。

* 強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼文件難以破解。這樣會在計算機被感染時防止或減輕造成的損害。

* 配置電子郵件服務器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附件的郵件，這些文件常用於傳播病毒。

* 迅速隔離受感染的計算機，防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。

* 教育員工不要打開意外收到的附件。 並且只在進行病毒掃描後才執行從互聯網下載的軟件。如果未對某些瀏覽器漏洞應用補丁程序，那麼訪問受感染的網站也會造成病毒感染。

使用殺毒工具殺毒

賽門鐵克安全響應中心開發了一種殺毒工具，可用來清除 W32.Netsky.C@mm 感染。這是消除此威脅的最簡便方法。

當然，您也可以按照以下指示自己手動殺毒。

以下指導適用於所有當前和最新的賽門鐵克防病毒產品，包括 Symantec AntiVirus 和 Norton AntiVirus 系列產品。

1. 禁用系統還原 (Windows Me/XP)。

2. 更新病毒定義。

3. 將計算機重啓到安全模式或者 VGA 模式。

4. 運行完整的系統掃描，並刪除所有檢測為 W32.Netsky.C@mm 的文件。

5. 刪除添加到註冊表的值。

有關每個步驟的詳細信息，請閲讀以下指導。

1. 禁用系統還原（Windows Me/XP）

如果您運行的是 Windows Me 或 Windows XP，建議您暫時關閉“系統還原”。此功能默認情況下是啓用的，一旦計算機中的文件被破壞，Windows 可使用該功能將其還原。如果病毒、蠕蟲或特洛伊木馬感染了計算機，則系統還原功能會在該計算機上備份病毒、蠕蟲或特洛伊木馬。

Windows 禁止包括防病毒程序在內的外部程序修改系統還原。因此，防病毒程序或工具無法刪除 System Restore 文件夾中的威脅。這樣，系統還原就可能將受感染文件還原到計算機上，即使您已經清除了所有其他位置的受感染文件。

此外，病毒掃描可能還會檢測到 System Restore 文件夾中的威脅，即使您已將該威脅刪除。

有關如何關閉系統還原功能的指導，請參閲 Windows 文檔或下列文章之一：

* 如何禁用或啓用 Windows XP 系統還原

* 如何禁用或啓用 Windows Me 系統還原

注意：蠕蟲移除乾淨後，請按照上述文章所述恢復系統還原的設置。

有關詳細信息以及禁用 Windows Me 系統還原的其他方法，請參閲 Microsoft 知識庫文章：病毒防護工具無法清除 _Restore 文件夾中受感染的文件，文章 ID：CH263455。

2. 更新病毒定義

賽門鐵克安全響應中心在我們的服務器上發佈任何病毒定義之前，會對其進行全面測試以保證質量。可以通過兩種方式獲得最新的病毒定義：

* 運行 LiveUpdate（這是獲取病毒定義的最簡便方法）：這些病毒定義被每週一次（通常在星期三）發佈到 LiveUpdate 服務器上，除非出現大規模的病毒爆發情況。要確定是否可通過 LiveUpdate 獲取此威脅的定義，請參考病毒定義 (LiveUpdate)。

* 使用智能更新程序下載病毒定義：智能更新程序病毒定義會在工作日（美國時間，星期一至星期五）發佈。應該從賽門鐵克安全響應中心網站下載病毒定義並手動進行安裝。要確定是否可通過智能更新程序獲取此威脅的定義，請參考病毒定義（智能更新程序）。

現在提供智能更新程序病毒定義：有關詳細説明，請參閲如何使用智能更新程序更新病毒定義文件。

3. 將計算機重啓到安全模式或者 VGA 模式

請關閉計算機，等待至少 30 秒鐘後重新啓動到安全模式或者 VGA 模式

* Windows 95/98/Me/2000/XP 用户：將計算機重啓到安全模式。所有 Windows 32-bit 操作系統，除了Windows NT，可以被重啓到安全模式。更多信息請參閲文檔 如何以安全模式啓動計算機 。

* Windows NT 4 用户：將計算機重啓到 VGA 模式。

4. 掃描和刪除受感染文件

1. 啓動 Symantec 防病毒程序，並確保已將其配置為掃描所有文件。

* Norton AntiVirus 單機版產品：請閲讀文檔：如何配置 Norton AntiVirus 以掃描所有文件。

* 賽門鐵克企業版防病毒產品：請閲讀 如何確定 Symantec 企業版防病毒產品被設置為掃描所有文件。

2. 運行完整的系統掃描。

3. 如果檢測到任何文件被 W32.Netsky.C@mm 感染，請單擊“刪除”。

5. 從註冊表中刪除值

注意：對系統註冊表進行任何修改之前，賽門鐵克強烈建議您最好先替註冊表進行一次備份。對註冊表的修改如果有任何差錯，嚴重時將會導致數據遺失或檔案受損。只修改指定的註冊表鍵。如需詳細指示，請閲讀「如何備份 Windows 註冊表」文件。

1. 單擊“開始”，然後單擊“運行”。（將出現“運行”對話框。）

2. 鍵入 regedit 然後單擊“確定”。（將打開註冊表編輯器。）

3. 導航至以下鍵：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

4. 在右窗格中，刪除值：

"ICQ NET" = "%Windir%\winlogon.exe -stealth"

5. 退出註冊表編輯器。

描述者： Tony Lee