Win32.Netsky.P

病毒名称：Win32.Netsky.P

其它名称：ZIP.Netsky.P

病毒属性：蠕虫病毒 危害性：中等危害 流行程度：高

具体介绍：

Win32.Netsky.P是一种通过邮件和对等网的共享传播的蠕虫病毒。病毒是大小为29,568字节的可执行文件,用FSG（脱壳工具）压缩，并会建立一个26，624字节的DLL文件。病毒经常是以ZIP文件的方式来传播自己。

病毒建立的DLL文件中是病毒的代码。

当病毒运行时它建立一个叫"'D'r'o'p'p'e'd'S'k'y'N'e't'",的互斥体，来确保同时只有一个Netsky.P在运行。

病毒拷贝自己到：

%Windows% FVProtect.exe

病毒会把代码解密，然后写到：

%Windows%userconfig9x.dll

病毒首先执行DLL文件的第一个功能。然后DLL文件就会继续执行。

病毒修改注册表来使自己能在WINDOWS启动时自动启动：

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunNorton Antivirus AV = "%Windows%FVProtect.exe"

DLL会建立另外一个互斥体"_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_".它会建立许多其他文件来传播自己：

■ %Windows%ase64.tmp

......

■ %Windows%zip3.tmp

注释：’%windows%’是一个可变的目录。蠕虫根据被感染机器的操作系统决定当前的系统文件夹。默认情况下， WIN2000和NT的安装位置是C:WINNT ;95,98和ME的是c:windows;xp的是c:windows.

传播方式：

通过邮件传播

病毒利用自己的SMTP引擎发送邮件。邮件的发件人地址和收件人地址都使用搜索到的邮件地址,或者发件人地址使用lola@sexnet.com.

Netsky.P可以用不同的主题，内容，附件名来构造一个邮件。邮件主题从下边这些里边选择：

Re: Encrypted Mail

Re: Extended Mail

......

important

read it immediately

邮件内容从这个列表里选择：

Please confirm my request.

......

You have received an extended message. Please read the instructions.

内容的后边可能会加上下边的内容：

+++ Attachment: No Virus found

......

++++ Norton AntiVirus - www.symantec.de可能的附件名：

message

......

readme

当附件是个可执行文件的时候，附件名可能是带一个或者两个扩展名。如果是两个扩展名的话，那么第一个扩展名是.txt或者.doc

最后的扩展名是：

.pif,.exe,.scr

两个扩展名之间会有多个空格。

当附件是个ZIP文件时，那么附件的扩展名是.ZIP.文件名是：

document.txt .exe

data.rtf .scr

details.txt .pif

病毒会在附件名的后边加上"_"。比如，当发送给tester@domain.com时，那么附件名是"msg_tester.zip".

下边是个例子：

主题:

Mail Delivery (failure )

内容:

If the message will not displayed automatically,

......

www./inbox//read.php?sessionid-

附件：

message.scr

邮件的内容是HTML文件，当查看附件后，附件就会运行。详细资料请查阅：

http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

下边是个 蠕虫生成的邮件的例子：

为了收集邮件地址，Netsky.P 搜索驱动器C到Z中以下扩展名的文件，但是不搜索光驱：

adb

......

vbs

wab

病毒会避免搜索带以下后缀的地址：

@microsof

......

reports@

通过文件共享传播

在搜索邮件地址的过程中，Netsky.P会查找共享目录，比如通过KAZAA共享的文件。

病毒会用以下名字拷贝自己到这些目录：

蠕虫用会尝试使用本地的DNS服务器来决定目标地址的邮件服务器地址。如果病毒没能使用DNS服务器，那么它会在自己带的一个列表里查找：

12.82.159.180

......

kazaa

shared files

在每个匹配的目录里，病毒会用以下文件名把自己拷贝进去：

he Sims 4 beta.exe

......

Kazaa Lite 4.0 new.exe

危害：

病毒会移除以下由别的 蠕虫产生的注册表键值：

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunExplorer

......

HKLMSystemCurrentControlSetServicesWksPatch

• ·Win32.Lovgate.H
• ·Win32.Klez.H
• ·鲍里斯·特拉伊科夫斯基
• ·Win32.Bagle.A
• ·Win32.Sobig
• ·全球青少年环境公约
• ·Win32.Nachi.A
• ·Win32.Mofei.B
• ·Win32.Mimail.A
• ·Trojan.BingHe