I-Worm/Netsky.ac

I-Worm/Netsky.ac

病毒长度：18,432 bytes 、 36,864 bytes

病毒类型：网络蠕虫

危害等级：**

影响平台：Win9X/2000/XP/NT/Me/2003

I-Worm/Netsky.ac利用自带的SMTP引擎群发邮件进行传播，邮件地址是从感染病毒的计算机上除光盘外的所有驱动器上搜索的，邮件的发件人、正文和附件都是变化的，此病毒经PECompact压缩过。

传播过程及特征：

首先复制自身为：%Windir%comp.cpl,插入并执行蠕虫模块文件：%Windir%wserver.exe，一旦此文件被执行，将有如下操作：

1.复制自身为：%Windir%wserver.exe

2.修改注册表：

添加键值："wserver"="%Windir%wserver.exe"到启动项：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

删除HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun下的值："ssgrate.exe" 、 "drvsys.exe" 和 "Drvddll_exe等。

3.遍历从C到Z的驱动器(除光盘外)，从下列类型文件中搜索有效的邮件地址：

.eml .txt .php .cfg .mbx .mdx .asp .wab .doc .vbs

.rtf .uin .shtm .cgi .dhtm .adb .tbb .dbx .pl

.htm .html .sht .oft .msg .ods .stm .xls .jsp

.wsh .xml .mht .mmf .nch .ppt

4.试图用默认的DNS得到邮件服务器的IP地址，否则便用自带的DNS：

212.44.160.8

195.185.185.195

151.189.13.35

213.191.74.19

193.189.244.205

145.253.2.171

193.141.40.42

193.193.144.12

217.5.97.137

195.20.224.234

194.25.2.130

194.25.2.129

212.185.252.136

212.185.253.70

212.185.252.73

62.155.255.16

194.25.2.134

194.25.2.133

194.25.2.132

194.25.2.131

193.193.158.10

212.7.128.165

212.7.128.162

5.用自带的SMTP引擎发送自身到gghjj@yahoo.com和搜索到的所有邮件地址,邮件特征：

发件人：下列之一

support@symantec.com

support@nai.com

support@norman.com

support@sophos.com

主题：Escalation

附件：Fix_<任意名>_<任意数字>.cpl --- 大小为36,864 bytes

注：<任意名>是下列之一：

NetSky.AB

Sasser.B

Beagle.AB

Mydoom.F

MSBlast.B

<任意数字>是介于0-32767之间的一个十进制数字

此病毒会避免向国内外安全信息厂商发送带毒邮件。