QFSoft

FireTiger
  博客园 :: 首页 :: 新随笔 :: 联系 :: 订阅 :: 管理 ::
打开任务管理器发现sercives.exe占了98%

病毒名称: "网络天空"(Worm_Netsky.B )  
其它英文命名:W32/Netsky.b@MM (McAfee)  
W32/Netsky.B.worm (Panda)  
WORM_NETSKY.B (Trend Micro)  
Moodown.B (F-Secure)  
I-Worm.Moodown.b (Kaspersky)  
感染系统:Win9x/WinMe/WinNT/Win2000/WinXP/Win2003  
病毒长度:22,016 字节(压缩后),1,984 字节(解压后)  
病毒特征:  

病毒使用UPX压缩,通过电子邮件进行传播。运行后,在Windows目录下生成自身的拷贝,修改注册表键值。病毒的拷贝有两个扩展名,使用Word的图标,并在共享文件夹中生成自身拷贝。  

1、生成病毒文件  
病毒运行后,在%Windows%目录下生成自身的拷贝,名称为service*.**e,  
(其中,%Windows% 是Windows的默认文件夹,通常是 C:Windows 或 C:WINNT)  

2、修改注册表项  
病毒创建注册表项,使得自身能够在系统启动时自动运行,在  
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下创建  
sservice = %Windows%service*.**e -serv  

3、通过电子邮件进行传播  
病毒在被感染用户的系统内搜索所有扩展名为.msg 、.oft 、.sht 、.dbx 、.tbb 、.adb 、.doc 、.wab 、.asp 、.uin 、.rtf 、.vbs 、.html 、.htm 、.pl 、.php 、.txt的文件,并从中寻找合法电子邮件地址,并使用的自带的SMTP向这些地址发送带毒的电子邮件。  

病毒发送的带毒电子邮件格式如下:  
发件人:(可能不是真实的邮件地址,具有欺骗性的地址)  

主题:(为下列之一)  
hi  
hello  
read it immediately  
something for you  
warning  
information  
stolen  
fake  
unknown  

附件扩展名1:(为下列之一)  
.txt  
.rtf  
.doc  
.htm  
附件扩展名2:(为下列之一)  
.exe  
.scr  
.com  
.pif  

5、病毒发作现象  
在病毒第一次运行的时候,它显示包含如下字符串的信息框: The file could not be opened!(如下图所示)  


6、病毒还在共享文件夹下生成自身的拷贝,病毒拷贝的名称为下列之一:  
doom2.doc.pif  
*** *** *** ***.doc.exe  
rfc compilation.doc.exe  
dictionary.doc.exe  
win longhorn.doc.exe  
e.book.doc.exe  
programming basics.doc.exe  
how to hack.doc.exe  
max payne 2.crack.exe  
e-book.archive.doc.exe  
virii.scr  
nero.7.exe  
eminem - lick my pussy.mp3.pif  
cool screensaver.scr  
serial.txt.exe  
office_crack.exe  
hardcore porn.jpg.exe  
angels.pif  
porno.scr  
matrix.scr  
photoshop 9 crack.exe  
strippoker.exe  
dolly_buster.jpg.pif  
winxp_crack.exe  

手工清除该病毒的相关操作:  
1、终止病毒进程  
在Windows 9x/ME系统,同时按下CTRL+ALT+DELETE,在Windows NT/2000/XP系统中,同时按下CTRL+SHIFT+ESC,选择"任务管理器--〉进程",选中正在运行的进程"service*.**e",并终止其运行。  

2、注册表的恢复  
点击"开始--〉运行",输入regedit,运行注册表编辑器,依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ,并删除面板右侧的sservice = %Windows%service*.**e -serv  

3、删除病毒释放的文件  
点击"开始--〉查找--〉文件和文件夹",查找文件"service*.**e",并将找到的文件删除。  
4、运行杀毒软件,对系统进行全面的病毒查杀  
从病毒设定的发作截止日期我们看出,该病毒的运行时间主要在春节期间,这一时期很多用户会上网收发邮件,互致问候,病毒邮件就掺杂在其中迷惑用户。所以,用户一定要了解该病毒的主要特征,遇到此类邮件立即删除,千万不要打开邮件的附件,避免病毒的感染和进一步的传播。

posted on 2007-06-17 22:43  MFKSoft  阅读(747)  评论(0)    收藏  举报
web counter
web counter