DACHY进

这几天老是收到你的邮件,标题是FAKE
里面是个附件,还有lemonkono@hotmail.com,,,是不是中病毒了

Originally posted by nighttrace at 2-23-2004 17:59:
这几天老是收到你的邮件,标题是FAKE
里面是个附件,还有lemonkono@hotmail.com,,,是不是中病毒了

我每天至少能收到30封，你说呢？

我是发现自己发给一个77JYJY@HOTMAIL.COM的信被打回来了。。里面也有附件。。HOTMAIL自带的MACEE那个什么查毒的说有毒。。。记得这人好象是豁达里的。。但是我绝对没有给他写过信。。。怪了。。

看起来很像很久以前说的那个病毒。。。咨询LINGERNW去吧

不是。这病毒是前1个月左右的最新病毒..
我碰到附件长度为３０Ｋ左右的E-MAIL，都全部删掉．

我也中了是nighttrace @163.com发给我的，现在我的电脑老是像打嗝一样一顿一顿的:dull:有何方法解决？>-|

系统有问题或者内存不够都能够导致。

那个病毒叫什么名字？有什么解决方法？我杀过毒，但还是不管用，就是昨天开过那个邮件后就开始了，真恼！

"诺维格"变种病毒?
不确定
到国产的杀毒软件网站去看看资料.哈哈...........

this?

http://www.duba.net/c/2004/01/29/106690.shtml

我下载了那个专杀软件查过了，没有毒？！麻烦了……

又不是说一定是。。。

:-(

我在网把上网

公开挑衅微(微)软(软)的病毒能这么容易杀吗..
呵呵~~

1：设置邮箱的 过滤设置

设置规则如下：
设置过滤邮件主题为以下的都拒绝接收 :
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error

设置过滤掉上面的主题

２：附件长度为３０Ｋ左右的，全部删掉．　

３：不要随便打开附件


--------好久前我的对付方法,比较烂.. Oshit!

ZT:W32.Netsky.B 是群发邮件蠕虫，它使用自己的 SMTP 引擎将自己发送到在扫描硬盘和映射的驱动器时找到的电子邮件地址。该蠕虫还会搜索驱动器 C 到 Z，查找名称中包含“Share”或“Sharing”的文件夹，然后将自己复制到这些文件夹中。

主题、正文和电子邮件附件无一定之规。

也称为:  W32/Netsky.b@MM [McAfee], W32/Netsky.B.worm [Panda], WORM_NETSKY.B [Trend Micro], Moodown.B [F-Secure], I-Worm.Moodown.b [Kaspersky]
变种:  W32.Netsky@mm
类型:  Worm
感染长度:  22,016 bytes
  
  
  
受影响的系统:  Windows 2000, Windows 95, Windows 98, Windows Me, Windows XP
未受影响的系统:  Linux, Macintosh, UNIX, Windows 3.x
  
  
  



病毒定义 (Intelligent Updater)*
2004.02.18


病毒定义 (LiveUpdate&#8482 **
2004.02.18


*
Intelligent Updater 病毒定义会每天发布一次，并需要手动下载和安装。
单击这里以进行手动下载。

**
LiveUpdate 病毒定义通常会在每周三发布。
单击这里，可获得使用 LiveUpdate 的说明







广度:

感染数量: 大于 1000
站点数量: 大于 10
地理分布: 中度
威胁遏制: 容易
消除威胁能力: 一般
威胁度量

         
广度:
高度
损坏程度:
低度
分发:
高度



损坏程度

有效载荷触发器: n/a
有效载荷: n/a
大量电子邮件发送: n/a
删除文件: n/a
修改文件: n/a
降低性能: n/a
造成系统不稳定: n/a
发布保密信息: n/a
危及安全设置: n/a
分发

电子邮件主题: n/a
附件名称: n/a
附件大小: n/a
附件的时戳: n/a
端口: n/a
共享驱动器: n/a
感染目标: n/a


When W32.Netsky@mm 运行时会执行下列操作：

创建名为“AdmSkynetJKIS003”的互斥体。此互斥体仅允许该蠕虫的一个实例在内存中执行。
可能显示具有以下文本的对话框：
The file could not be opened!

将自身复制为 %Windir%\services.exe

--------------------------------------------------------------------------------
注意：%Windir% 是一个变量。该蠕虫会找到 Windows 安装文件夹（默认为 C:\Windows 或 C:\Winnt），然后将自身复制到其中。
--------------------------------------------------------------------------------

将值：
"service" = "%Windir%\services.exe -serv"

添加到注册表键：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

这样，此蠕虫便可在 Windows 启动时运行。
将值：
"Taskmon"
"Explorer"

从以下注册表键删除：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
将值：
"KasperskyAV"
"System."

从以下注册表键删除：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除注册表键：
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32

从具有以下文件扩展名的文件检索电子邮件地址：
.msg
.oft
.sht
.dbx
.tbb
.adb
.doc
.wab
.asp
.uin
.rtf
.vbs
.html
.htm
.pl
.php
.txt
.eml

搜索驱动器 C 到 Z，查找名称中包含“Share”或“Sharing”的文件夹。
doom2.doc.pif
sex sex sex sex.doc.exe
rfc compilation.doc.exe
dictionary.doc.exe
win longhorn.doc.exe
e.book.doc.exe
programming basics.doc.exe
how to hack.doc.exe
max payne 2.crack.exe
e-book.archive.doc.exe
virii.scr
nero.7.exe
eminem - lick my pussy.mp3.pif
cool screensaver.scr
serial.txt.exe
office_crack.exe
hardcore porn.jpg.exe
angels.pif
porno.scr
matrix.scr
photoshop 9 crack.exe
strippoker.exe
dolly_buster.jpg.pif
winxp_crack.exe

使用它自己的 SMTP 引擎将其自身发送到在上述位置找到的电子邮件地址。
此类电子邮件有以下特征：
发件人：<欺骗性地址>
主题：（下列之一）
hi
hello
read it immediately
something for you
warning
information
stolen
fake
unknown

消息：（下列之一）
anything ok?
what does it mean?
ok
i'm waiting
read the details.
here is the document.
read it immediately!
my hero
here
is that true?
is that your name?
is that your account?
i wait for a reply!
is that from you?
you are a bad writer
I have your password!
something about you!
kill the writer of this document!
i hope it is not true!
your name is wrong
i found this document about you
yes, really?
that is bad
here it is
see you
greetings
stuff about you?
something is going wrong!
information about you （我中的是这个）
about me
from the chatter
here, the serials
here, the introduction
here, the cheats
that's funny
do you?
reply
take it easy
why?
thats wrong
misc
you earn money
you feel the same
you try to steal
you are bad
something is going wrong
something is fool

附件：
W32.Netsky.B@mm 会在 48.5% 的情况下创建一个 .zip 文件，其中会包含一个蠕虫自身的备份。这两个文件名都是随机从下面的列表中选取。

其它情况下，蠕虫会创建一个可执行文件作为附件。附件名为下列之一。

附件名：
document
msg
doc
talk
message
creditcard
details
attachment
me
stuff
posting
textfile
concert
information
note
bill
swimmingpool
product
topseller
ps
shower
aboutyou
nomoney
found
story
mails
website
friend
jokes
location
final
release
dinner
ranking
object
mail2
part2
disco
party
misc

附件扩展名：
如果附件是可执行文件，蠕虫会在 53.8% 的情况下创建一个附加扩展名。如果附件是一个 .zip 文件，.zip 中的可执行文件会在 33% 的情况下拥有一个附加扩展名。不同的扩展名可能包括下列之一：
.txt
.rtf
.doc
.htm

所有的可执行文件的扩展名会为下列之一：
.exe
.scr
.com
.pif
在 %Windir% 文件夹中创建 40 个包含蠕虫副本的 .zip 文件。这些文件的名称符合上述附件名。








赛门铁克安全响应中心主张所有用户和管理员都坚持以下良好的基本安全习惯。

关闭或删除不需要的服务。默认情况下，许多操作系统会安装不危险的辅助服务，如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击提供了方便之门。如果删除它们，就减少了混合型威胁用于攻击的途径，并且在补丁程序更新时也减少了要维护的服务。
如果混合型威胁利用了一个或多个网络服务，请在应用补丁程序之前禁用或禁止访问这些服务。
实施应用最新的补丁程序，特别是在运行公共服务并可通过防火墙进行访问的计算机上，如 HTTP、FTP、邮件和 DNS 服务。
强制执行密码策略。使用复杂的密码，即使在受到威胁的计算机上也难以破解密码文件。这有助于在计算机的安全受到威胁时防止或限制更大的破坏。
将您的邮件服务器配置为禁止或删除包含常用于传播病毒的附件（如 .vbs、.bat、.exe、.pif 和 .scr）的电子邮件。
迅速隔离受感染的计算机以防止您的组织受到更多的威胁。执行攻击型分析并使用可靠的媒体恢复计算机。
教育员工不要打开来路不明的附件。也不要执行从 Internet 下载后未经病毒扫描的软件。如果某些浏览器漏洞未被修补，访问受到安全威胁的网站也会造成感染。 :v:

近来有人通过IPC$和139端口潜入我机子乱看（plus木马一只），今天刚把他赶出去。顺便装些软件把一大堆端口封住，但139端口可是要手工封的哟

fake
WARNING

传说
我也中了