W32/Netsky.p@MM: a legújabb változat is közepesen veszélyes

forrás Prim Online, 2004. március 23. 16:42
A jelenlegi Netsky.p verzió ismét a már ismert vírus újracsomagolt formája, amely az Internet Explorer sérülékenységét kihasználva terjed. Az AVERT, a Network Associates vírusszakértői csoportja magasabb veszélyességi kategóriába sorolta át a W32/Netsky.p@MM férget. A közlemény szerint a Netsky.p "közepes" veszélyt jelent az otthoni és a vállalati felhasználók számára egyaránt. Az új besorolást az előfordulás gyakoriságának növekedése tette szükségessé.
A W32/Netsky.p@MM 29568 bájt hosszú, FSG csomagolású állomány formájában terjed e-mailen és hálózaton egyaránt. A vírus Microsoft Internet Explorer (5.01-es, vagy 5.5-ös SP2 nélküli verzióinak) sérülékenységét használja ki, amely miatt egy hibás MIME fejléc tetszőleges kód futtatását teszi lehetővé.

A vírus az alábbi néven másolja magát a Windows rendszerkönyvtárba:

· FVProtect.exe (22,016 bytes)

Ugyanabban a könyvtárban létrehozza az alábbi fájlokat is:

· userconfig9x.dll (26624 bájt)
· base64.tmp (féreg, UUEncode csomagban)
· zip1.tmp (a féreg zip fájlja UUEncode csomagban)
· zip2.tmp (a féreg zip fájlja UUEncode csomagban)
· zip3.tmp (a féreg zip fájlja UUEncode csomagban)
· zipped.tmp (a féreg zip fájlban)

Az indításkor az alábbi kulcs segítségével tölti be magát:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"Norton Antivirus AV" = %WinDir%\FVProtect.exe
ahol a %WinDir% a Windows könyvtár.

A vírus helyi rendszeren azokban a mappákban terjeszti magát, amelyek neve az alábbi karaktersorokat tartalmazza: shared files, kazaa, mule, donkey, morpheus, lime, bear, icq, shar, upload, http, htdocs, ftp, download, my shared folder.

A fájlnév az alábbi listából kerül kiválasztásra:

· · 1001 Sex and more.rtf.exe
· 3D Studio Max 6 3dsmax.exe
· ACDSee 10.exe
· Adobe Photoshop 10 crack.exe
· Adobe Photoshop 10 full.exe
· Adobe Premiere 10.exe
· Ahead Nero 8.exe
· Altkins Diet.doc.exe
· American Idol.doc.exe
· Arnold Schwarzenegger.jpg.exe
· Best Matrix Screensaver new.scr
· Britney sex xxx.jpg.exe
· Britney Spears and Eminem porn.jpg.exe
· Britney Spears blowjob.jpg.exe
· Britney Spears cumshot.jpg.exe
· Britney Spears fuck.jpg.exe
· Britney Spears full album.mp3.exe
· Britney Spears porn.jpg.exe
· Britney Spears Sexy archive.doc.exe
· Britney Spears Song text archive.doc.exe
· Britney Spears.jpg.exe
· Britney Spears.mp3.exe
· Clone DVD 6.exe
· Cloning.doc.exe
· Cracks & Warez Archiv.exe
· Dark Angels new.pif
· Dictionary English 2004 - France.doc.exe
· DivX 8.0 final.exe
· Doom 3 release 2.exe
· E-Book Archive2.rtf.exe
· Eminem blowjob.jpg.exe
· Eminem full album.mp3.exe
· Eminem Poster.jpg.exe
· Eminem sex xxx.jpg.exe
· Eminem Sexy archive.doc.exe
· Eminem Song text archive.doc.exe
· Eminem Spears porn.jpg.exe
· Eminem.mp3.exe
· Full album all.mp3.pif
· Gimp 1.8 Full with Key.exe
· Harry Potter 1-6 book.txt.exe
· Harry Potter 5.mpg.exe
· Harry Potter all e.book.doc.exe
· Harry Potter e book.doc.exe
· Harry Potter game.exe
· Harry Potter.doc.exe
· How to hack new.doc.exe
· Internet Explorer 9 setup.exe
· Kazaa Lite 4.0 new.exe
· Kazaa new.exe
· Keygen 4 all new.exe
· Learn Programming 2004.doc.exe
· Lightwave 9 Update.exe
· Magix Video Deluxe 5 beta.exe
· Matrix.mpg.exe
· Microsoft Office 2003 Crack best.exe
· Microsoft WinXP Crack full.exe
· MS Service Pack 6.exe
· netsky source code.scr
· Norton Antivirus 2005 beta.exe
· Opera 11.exe
· Partitionsmagic 10 beta.exe
· Porno Screensaver britney.scr
· RFC compilation.doc.exe
· Ringtones.doc.exe
· Ringtones.mp3.exe
· Saddam Hussein.jpg.exe
· Screensaver2.scr
· Serials edition.txt.exe
· Smashing the stack full.rtf.exe
· Star Office 9.exe
· Teen Porn 15.jpg.pif
· The Sims 4 beta.exe
· Ulead Keygen 2004.exe
· Visual Studio Net Crack all.exe
· Win Longhorn re.exe
· WinAmp 13 full.exe
· Windows 2000 Sourcecode.doc.exe
· Windows 2003 crack.exe
· Windows XP crack.exe
· WinXP eBook newest.doc.exe
· XXX hardcore pics.jpg.ex
·
A saját SMTP levelező motor a helyi rendszerről gyűjti össze a címeket, a következő típusú fájlokból: .xml, .wsh, .jsp, .msg, .oft, .sht, .dbx, .tbb, .adb, .dhtm, .cgi, .shtm, .uin, .rtf, .vbs, .doc, .wab, .asp, .php, .txt, .eml, .html, .htm, .pl.

A fertőzött email további ismertetőjegyei:

Feladó: (Hamis cím)
Tárgy: az alábbi listából:

· Stolen document
· Re:Hello
· Mail Delivery ( failure sender address )
· Private document
· Re:Notify
· Re:document
· Re:Extended Mail System
· Re:Proctected Mail System
· Re:Question
· Private document
· Postcard

Szöveg: az alábbi listából:

· I found this document about you.
· I have attached it to this mail.
· Waiting for authentification.
· Please confirm!
· Protected message is available
· Do not visit this illegal websites!
· Here is my phone number.
· I cannot believe that.
· Your file is attached.
· For further details see that attachment.
· Congratulations!, your best friend.
· Greetings from france, your friend.
· If the message will not displayed automatically, follow the link to read the delivered message.
Received message is available at: (hamis link)

Csatolt állomány: ZIP kiterjesztésű fájl az alábbi listából, amely a vírust tartalmazza:

· websites(véletlenszerű szám).zip
· document(véletlenszerű szám).zip
· your_document.zip
· part(véletlenszerű szám).zip
· message.doc.scr
· message.zip
· document.zip
· old_photos.txt.pif
· postcard_.(véletlenszerű szám)..zip
· details(véletlenszerű szám).zip

A W32/Netsky.p@MM vírust március 21-én fedezték fel, és a másnap kiadott 4340-es DAT fájl már tartalmazza a vírus felismeréséhez szükséges információt.