netdll.dll
常见名称:Nolor
技术名称:W32/Nolor
威胁性:非常低
影响:通过电子邮件迅速传播。
受影响系统:Windows XP/2000 Pro/NT/Me/98/95
首次出现日期:2003年4月29日
正在流行?否
简述
Nolor是一种能通过电子邮件迅速传播的蠕虫病毒。在感染一台计算机之后,它会向地址簿中的所有联系人发送自身的一个拷贝。为此,Nolor使用了它自己的SMTP引擎。
携带有该蠕虫病毒的邮件信息具有易变的特性。然而,其中一些的主题和信息内容与本拉登有关,另外还会有一些贺卡或用来访问特定程序的口令。
可见症状
Nolor比较容易识别,携带有该蠕虫病毒的信息中将总会包含有以下文件之一的附件:
LOVE_LORN.KIS.OK.EXE
LOVELORN.KIS.OK.EXE
THUYQUYEN.KIS.OK.EXE
LOVE_LORN.HTM
LOVELORN.HTM
THUYQUYEN.HTM
Nolor的主要目标是快速地经由电子邮件传播,并且尽可能多地感染其他计算机。
感染方式
Nolor会创建以下文件:
EXPLORER.EXE,KERNEL32.EXE,NETSN.DLL和SERSCG在Windows的系统目录中。这些文件都是蠕虫病毒的拷贝。
SETUP.HTM,在Windows系统目录中。这个文件被熊猫卫士防病毒软件识别为VBS/Nolor。
BSK.DLL,在Windows系统目录中。这个文件是SETUP.HTM文件的一个base64拷贝。
NETDLL.DLL,在Windows系统目录中。这个文件是蠕虫病毒的一个base64拷贝。
FINDFAST.EXE,在Windows启动目录中。这个文件是蠕虫病毒的一个拷贝。
如果在软盘驱动器中有一张软盘,Nolor也会试着将自己复制到其上,文件名为NQH_KISS_YOU.EXE。
Nolor会在Windows注册表中创建以下的键:
HKLM\ Software\ Microsoft\ Windows\ CurrentVersion\ Run=
Registry explorer %sysdir%\explorer.exe
其中%sysdir%是Windows的系统目录。
通过创建该项目,Nolor能使自己在每次Windows启动时被运行。
传播方式
Nolor使用电子邮件传播,并希望尽可能多地感染其他计算机。
在感染一台计算机之后,它会向地址簿中的所有联系人发送自身的一个拷贝。为此,Nolor使用了它自己的SMTP引擎。
携带该蠕虫病毒的邮件信息具有以下特性:
它会在下面的列表中选择一个主题和信息:
Read this file
Help...
Re:baby!your friend send this file to you !
HELP??-
Enjoy
Read File attach .
Re:Get Password mail...
There're some Passwords here
run File Attach to extract:BinladenSexy.jpg...
Enjoy! BINLADEN:SEXY..
Re:Binladen_Sexy.jpg
The Sexy story and 4 sexy picture of BINLADEN !
Souvenir for you from file attach...
See the Greeting-card .
Re:I Love You...OKE!
A Greeting-card for you .
Read file attach
I like Sexy with you.
Re:Kiss you..^@^
Guide to <offensive word>...
Play the game from file attach
Re:Baby! 2000USD,Win this game...
附件:下列之一:
LOVE_LORN.KIS.OK.EXE
LOVELORN.KIS.OK.EXE
THUYQUYEN.KIS.OK.EXE
LOVE_LORN.HTM
LOVELORN.HTM
THUYQUYEN.HTM
其他的细节
Nolor是由Borland C++编写的。造成感染的文件大小为102,400字节。
我的计算机会被Nolor感染吗?
为了确认Nolor没有感染您的计算机,您可以采取以下操作:
A.在检查更新之后,使用熊猫卫士防病毒软件对您的计算机进行全面的扫描。
B.使用熊猫软件公司提供的免费在线杀毒工具Panda ActiveScan扫描您的计算机,它将能够迅速发现任何可能存在的病毒。
该如何清除Nolor
如果您的熊猫卫士防病毒软件或Panda ActiveScan在扫描期间发现Optix.PRO,请跟随程序的指令将其清除。
最后,根据以下这些步骤恢复您计算机的原始配置:
删除Nolor在Windows注册表中创建的项目:
HKLM\ Software\ Microsoft\ Windows\ CurrentVersion\ Run=
Registry explorer %sysdir%\explorer.exe
其中%sysdir%是Windows的系统目录。
重新启动计算机。
为了确定Nolor已被完全清除,请用熊猫卫士防病毒软件或Panda ActiveScan对您的计算机进行全面的扫描。
