《轉載》天網病毒急速擴散

W32.Netsky.C 是一種會寄發大量郵件的病蟲，它會掃描硬碟與網路磁碟並使用自身的 SMTP 引擎將自己傳送給找到的電子郵件位址。 此外，它還會搜尋磁碟 C 到 Z，看看有沒有包含 "Shar" 的資料夾名稱，找到後將自身複製到這些資料夾中。
病蟲寄發的郵件主旨、內文與附件名稱會因人而異。

注意：
賽門鐵克擁有病蟲禁止功能的單機版產品可以在這個病蟲試圖傳播的時候自動將其探測出來。
日期為 2004 年 2 月 24 日的病毒定義修訂版 32(20040224.032 或定義版本 60224af) 或更高版本可以檢測到此威脅。
賽門鐵克安全機制應變中心已開發出可清除 W32.Netsky.B@mm 感染的移除工具。
一旦 W32.Netsky.C@mm 開始執行，它會進行下列動作：
1. 建立名為 "[SkyNet.cz]SystemsMutex" 的 Mutex。此 Mutex 只允許執行一個病蟲實例。

2. 將自身複製為 %Windir%\Winlogon.exe。
注意：此處的 %windir% 是變數，病蟲會自行找到 Windows 安裝資料夾 (預設為 C:\Windows 或 C:\Winnt) 並將自己複製過去。

3. 新增下列值：
"ICQ Net" = "%Windir%\winlogon.exe -stealth"
加入登錄鍵：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
因此，當您啟動 Windows 時，病蟲都會執行。

4. 搜尋磁碟 C 到 Z，看看有沒有包含 Share 或 Sharing 等字眼的資料夾名稱。 如果磁碟不是 CD-ROM，蠕蟲找到後將自身複製到這些資料夾中。

5. 使用自身的 SMTP 引擎將自己傳送至上述找到的電子郵件位址。 受感染的電子郵件特徵請參閲本文最後的「額外的資訊」。

6. 在 %Windir% 資料夾中建立 40 個 .zip 檔案，其中包含病蟲本身。 這些檔案的名稱會符合上述的附件名稱。
更詳細消息及病毒移除工具:
http://www.symantec.com/region/tw/avcent...etsky.c@mm.html

防毒公司趨勢科技26日發佈中度風險病毒警訊，一隻新的變種病毒「天網病毒」WORM_NETSKY.C目前流竄於全球電腦，感染後的電腦，會於2004/2/26 06:00 AM~2004/2/26 09:00 AM，持續發出嗶聲一直到2004/2/26 09:01 AM才停止。雖然台灣時間已過，不過美國時間仍未到，包括 Windows 95、98、ME、NT、 2000 和 XP系統都是這隻病毒的目標。

趨勢科技防毒研究中心 TrendLabs 分析指出，這一隻變種病毒和之前那隻一樣，會透過email、網路芳鄰及點對點分享軟體三種方式快速傳播。
WORM_NETSKY.C天網病毒為了逃過資安廠商的監控，在蒐集感染電腦中的 email 帳號的同時，還會刻意避開包含以下特定關鍵字的 email，以避免資安廠商收集到病毒信件。且會假好心試圖去移除受悲慘世界病毒 (WORM_MYDOOM)病毒感染的電腦。另外，它還會以有趣的主旨及偽裝成WORPAD檔案來吸引網友開啟。同時此蠕蟲也會偽裝成壓縮檔，企圖逃過企業漏洞。由於一般人的好奇心使然，因此在防衛心鬆懈下不小心開啟檔案即受到病毒感染。 它也會利用網路磁碟機，透過網路芳鄰的方式感染網路上其他電腦，病毒程式會搜尋分享資料夾的關鍵字以 Shar為名的目錄，然後將病毒程式偽裝成網友感興趣的分享資料，如 nero.7.exe (CD燒錄程式)、photoshop 9 crack.exe (影像編輯程式破解版)、1000 Sex and more.rtf.exe（性相關文章）、Microsoft Office 2003 Crack.exe（破解程式）等，網友一旦不慎開啟就會中毒。

如果網友喜愛利用點對點的程式下載軟體也要注意，因為它會透過點對點傳輸程式，搜尋分享資料夾的關鍵字以 Shar為名的目錄，然後將病毒程式偽裝成網友感興趣的分享資料，將病毒程式透過網友分享的方式，感染其他電腦。網友在自己的電腦上搜尋到其他電腦有趣的內容進而下載時，就會中毒。

WORM_NETSKY.D
說明:
此病毒會常駐在記憶體中, 並且利用自己的SMTP引擎大量散播病毒郵件, 郵件格式如下:
主旨: (可能為下列其中之一)
Re: Your website
Re: Your product
Re: Your letter
Re: Your archive
Re: Your text
Re: Your bill
Re: Your details
Re: My details
Re: Word file
Re: Excel file
Re: Details
Re: Approved
Re: Your software
Re: Your music
Re: Here
Re: Re: Re: Your document
Re: Hello
Re: Hi
Re: Re: Message
Re: Your picture
Re: Here is the document
Re: Your document
Re: Thanks!
Re: Re: Thanks!
Re: Re: Document
Re: Document
信件內容: (可能為下列其中之一)
Your file is attached.
Please read the attached file.
Please have a look at the attached file.
See the attached file for details.
Here is the file.
Your document is attached.
附加檔案: (可能為下列其中之一)
your_website.pif
your_product.pif
your_letter.pif
your_archive.pif
your_text.pif
your_bill.pif
your_details.pif
document_word.pif
document_excel.pif
my_details.pif
all_document.pif
application.pif
mp3music.pif
yours.pif
document_4351.pif
your_file.pif
message_details.pif
your_picture.pif
document_full.pif
message_part2.pif
document.pif
your_document.pif

病毒產生自己的複製檔案名為WINLOGON.EXE到Windows資料夾中.
(Note:在Windows NT, 2000和XP系統, 會有一個正常的檔案同樣也叫WINLOGON.EXE在Winodws的系統資料夾中.)
此病毒使用Petite壓縮格式的執行檔, 是由一種高等的程式語言Microsoft Visual C++寫成.
它會感染Windows 95, 98, ME, NT, 2000, 和XP等作業系統.

♥順子老婆的網拍，請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!