Email-Worm.Win32.NetSky.r分析

一、病毒标签：
病毒名称： Email-Worm.Win32.NetSky.r
病毒类型：蠕虫类
文件 MD5：04871D17DBBD1911AFC76AAD6D9DBD20
公开范围： 完全公开
危害等级： 4
文件长度： 28,008 字节
感染系统： Windows98以上版本
加壳类型： PEtite 2.2

二、病毒描述：

该病毒为邮件蠕虫，病毒运行后复制自身到系统目录，衍生病毒文件。 修改注册表，添加启动项，以达到随机启动的目的。该病毒会自动搜索用户计算机上电子邮件地址，病毒以附件的形式随邮件发出；其他用户打开这些邮件的附件，就会被病毒感染。

三、行为分析：

本地行为:

1、 文件运行后会衍生以下文件
%WinDir%\base64.tmp 大小: 38,382字节
%WinDir%\firewalllogger.txt 大小: 23,040字节
%WinDir%\sysmonxp.exe 大小: 28,008字节
%WinDir%\zipo0.txt 大小: 38,834字节
%WinDir%\zipo1.txt 大小: 38,822字节
%WinDir%\zipo2.txt 大小: 38,826字节
%WinDir%\zipo3.txt 大小: 38,826字节
%WinDir%\zippedbase64.tmp 大小: 28,330字节

2、 新建注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\run]
注册表值：" SysMonXP "
类型： REG_SZ
值： " C:\WINDOWS\SysMonXP.exe "
描述：添加启动项，以达到随机启动的目的

4、 删除注册表键值
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]
注册表值： "@"
类型： REG_SZ
字符串： "%SystemRoot%\system32\webcheck.dll "
描述：删除对网站进行监视的COM接口DLL文件

5、该病毒会自动搜索用户计算机上多种格式的文件，从中提取电子邮件地址，并向这些地址发送病毒邮件。其他用户打开这些邮件的附件，就会被病毒感染。

6、该病毒大量发送垃圾邮件会造成用户计算机速度减慢，网络带宽被严重占用，甚至会造成一些局域网络崩溃。

注释：
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动系统所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% 当前用户TEMP缓存变量；路径为：
%Documents and Settings%\当前用户\Local Settings\Temp
%System32% 是一个可变路径；
病毒通过查询操作系统来决定当前System32文件夹的位置；
Windows2000/NT中默认的安装路径是　C:\Winnt\System32；
Windows95/98/Me中默认的安装路径是　C:\Windows\System；
WindowsXP中默认的安装路径是　C:\Windows\System32。


四、 清除方案：
1、使用安天木马防线可彻底清除此病毒(推荐)，请到安天网站下载：www.antiy.com 。
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。推荐使用ATool（安天安全管理工具），ATool下载地址: www.antiy.com或http://www.antiy.com/download/index.htm 。
(1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程

(2) 强行删除病毒文件
%WinDir%\base64.tmp 大小: 38,382字节
%WinDir%\firewalllogger.txt 大小: 23,040字节
%WinDir%\sysmonxp.exe 大小: 28,008字节
%WinDir%\zipo0.txt 大小: 38,834字节
%WinDir%\zipo1.txt 大小: 38,822字节
%WinDir%\zipo2.txt 大小: 38,826字节
%WinDir%\zipo3.txt 大小: 38,826字节
%WinDir%\zippedbase64.tmp 大小: 28,330字节

(3)删除病毒添加的注册表项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\run]
注册表值：" SysMonXP "
类型： REG_SZ
值： " C:\WINDOWS\SysMonXP.exe "
描述：添加启动项，以达到随机启动的目的

（4）恢复病毒修改的注册表项目
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]
注册表值： "@"
类型： REG_SZ
字符串： "%SystemRoot%\system32\webcheck.dll"
描述：删除对网站进行监视的COM接口DLL文件

（5拷贝一个同操作系统版本的webcheck.dll到%SystemRoot%\system32目录下