Az üzenet jellemzői a következők:

Tárgy: (a következők bármelyike)
Re: Approved
Re: Details
Re: Document
Re: Excel file
Re: Hello
Re: Here
Re: Here is the document
Re: Hi
Re: My details
Re: Re: Document
Re: Re: Message
Re: Re: Re: Your document
Re: Re: Thanks!
Re: Thanks!
Re: Word file
Re: Your archive
Re: Your bill
Re: Your details
Re: Your document
Re: Your letter
Re: Your music
Re: Your picture
Re: Your product
Re: Your software
Re: Your text
Re: Your website

Üzenet szövege: (a következők bármelyike)
Your file is attached.
Please read the attached file.
Please have a look at the attached file.
See the attached file for details.
Here is the file.
Your document is attached.

Csatolt fájl: (a következők bármelyike)
all_document.pif
application.pif
document.pif
document_4351.pif
document_excel.pif
document_full.pif
document_word.pif
message_details.pif
message_part2.pif
mp3music.pif
my_details.pif
your_archive.pif
your_bill.pif
your_details.pif
your_document.pif
your_file.pif
your_letter.pif
your_picture.pif
your_product.pif
your_text.pif
your_website.pif
yours.pif

A féreg WINLOGON.EXE fájlnéven elhelyezi saját másolatát a Windows mappába. Egy folyamatot indít az e-mail címek összegyűjtéséhez. A gyűjtést megadott kiterjesztésű fájlokban végzi a C meghajtótól a Z meghajtóig (kivéve a CD-ROM meghajtót).

(Megjegyzés: A Windows NT, 2000 és XP rendszereken a Windows System mappában mindig szerepel egy WINLOGON.EXE alkalmazás, amely a rendszer működéséhez szükséges.)

A féreg csatlakozik egy helyi vagy több külső DNS szerverhez, amelyeket SMTP szerverként használ olyan levélforgalmazók kereséséhez, amely a yahoo.com domainen belül található. Ez a rosszindulatú kód egy Petite tömörítésű futtatható fájlban érkezik, és a magas szintű Microsoft Visual C++ programozási nyelven íródott. Windows 95, 98, ME, NT, 2000 és XP operációs rendszereken fut.

Megoldás

ÚTMUTATÓ AZ AUTOMATIKUS ELTÁVOLÍTÁSHOZ
A rosszindulatú kód automatikus eltávolításához kérjük, használja a Trend Micro System Cleaner <http://www.trendmicro.com/download/tsc.asp> alkalmazást.

ÚTMUTATÓ A KÉZI ELTÁVOLÍTÁSHOZ

A rosszindulatú program azonosítása
A rosszindulatú kód eltávolítása előtt először azonosítani kell a programot.
Vizsgálja meg a rendszert a Trend Micro víruskeresővel, és JEGYEZZE FEL az összes fájlt, Amelyet a program WORM_NETSKY.D vírusként azonosított. Ennek elvégzéséhez a TREND MICRO ügyfeleknek le kell tölteniük a legújabb mintafájlt <http://www.trendmicro.com/download/pattern.asp>, majd megvizsgálni a rendszert. A többi Internet felhasználó a HouseCall szoftverrel, a TREND MICRO ingyenes on-line víruskeresőjével <http://housecall.trendmicro.com> végezheti el a vizsgálatot.

A rosszindulatú program leállítása

Ez az eljárás leállítja a memóriában futó rosszindulatú folyamatot. Szüksége lesz a korábban felismert fájl(ok) nevére.

1. Nyissa meg a Windows Feladatkezelőt! Windows 95/98/ME rendszereken nyomja meg a CTRL+ALT+DELETE billentyűket, Windows NT/2000/XP rendszereken nyomja meg a CTRL+SHIFT+ESC billentyűket, majd kattintson a Folyamatok lapra!
2. A futó programok listájában* keresse meg a korábban felismert rosszindulatú fájlt vagy fájlokat!
3. Válassza ki a felismert fájlok egyikét, majd kattintson a Feladat bezárása vagy a Folyamat leállítása gombra a Windows verziótól függően!
4. Végezze le ezt a műveletet az összes felismert rosszindulatú fájlra, melyet megtalál a futó folyamatok listájában!
5. A rosszindulatú folyamatok leállítását úgy ellenőrizheti, hogy bezárja a Feladatkezelőt, majd újra megnyitja.
6. Zárja be a Feladatkezelőt!

*Megjegyzés: A Windows 95/98/ME rendszereken a Feladatkezelő időnként nem jelenít meg bizonyos folyamatokat. A rosszindulatú folyamatok lezárásához külső fejlesztőtől származó folyamatmegtekintő programokat is használhat. Folytassa a műveletet a következő eljárással, de vegye figyelembe az ezekre a rendszerekre vonatkozó speciális utasításokat.

Automatikus futtatás bejegyzések eltávolítása a rendszerleíró adatbázisból

Az automatikus futtatás bejegyzések eltávolítása a rendszerleíró adatbázisból megakadályozza a rosszindulatú program indításkori futtatását.
1. Nyissa meg a Rendszerleíró adatbázis-szerkesztőt! Ehhez válassza a Start>Futtatás menüpontot, írja be a Regedit parancsot, majd nyomja meg az Enter billentyűt!
2. A bal oldali panelen kattintson kétszer a következőre: HKEY_LOCAL_MACHINE>Software>Microsoft> Windows>CurrentVersion>Run
3. A jobb oldali panelen keresse meg és törölje a következő bejegyzést:
ICQ Net = "%Windows%\winlogon.exe -stealth"
4. Zárja be a Rendszerleíró adatbázis-szerkesztőt!

Megjegyzés: Ha nem tudta leállítani a rosszindulatú kód folyamatait az előző eljárásban, akkor indítsa újra a rendszert.

További utasítások a Windows ME/XP rendszerek tisztításához

<http://www.trendmicro.com/en/security/advisories/win_me_clean.htm>

A TREND MICRO vírusvédelem futtatása

Vizsgálja meg a rendszert a Trend Micro víruskeresővel, és törölje az összes olyan fájlt, melyet a program WORM_NETSKY.D vírusként azonosított. Ennek elvégzéséhez a TREND MICRO ügyfeleknek le kell tölteniük a legújabb mintafájlt <http://www.trendmicro.com/download/pattern.asp>, majd megvizsgálni a rendszert. A többi Internet felhasználó a HouseCall szoftverrel, a TREND MICRO ingyenes on-line víruskeresőjével <http://housecall.trendmicro.com> végezheti el a vizsgálatot.

Megjegyzés: Az egyes termékekre érvényes megoldások leírását a Solution 18886 <http://kb.trendmicro.com/solutions/solutionDetail.asp?solutionId=18886>alatt találja a TREND MICRO Knowledge Base tudásbázisban.