W32/Netsky-K: A harc folytatódik

Geza Papp, 2004. március 8. 22:30
A W32/Netsky-K tipikus elektronikus levélféreg, mely saját SMTP protokollal rendelkezik, mellyel leveleket küld a merevlemezek állományaiban található címekre.

Fajta: Win32 worm. A Sophos számtalan jelzést kapott a féreg tevékenységéről.

Leírás:

Első futásakor a számítógépen, mint "user log's bemásolja magát avpguard.exe néven a Windows könyvtárba, és a registryben az alábbi bejegyzést teszi egy kulcshoz, biztosítva ezzel, hogy minden rendszerindításkor az első programokkal fusson:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\My AV

= \avpguard.exe -av serv


Törli az alábbi fájlokat (melyek a MyDoom, ill Bagle fertőzés) maradványai:


Taskmon, Explorer, system., msgsvr32, DELETE ME, service, Sentry, Windows Services Host


Ezen kívül az alábbi registry kulcsból:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

a következő bejegyzések valamelyikét, melyet megtalál:

Explorer, d3dupdate.exe, au.exe, OLE, Windows Services Host, gouday.exe, rate.exe, sate.exe, ssate.exe, srate.exe, sysmon.exe.

A W32/Netsky-K törli még a registry bejegyzések közül a következőket:

HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32

HKLM\System\CurrentControlSet\Services\WksPatch

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\PINF

Az általa törölt összes bejegyzés, kulcs, fájl a W32/Bagle és a W32/MyDoom víruscsaládok fertőzésének maradványa...

A W32/Netsky-K az e - mail címeket a merevlemez

XML, WSH, JSP, DHTM, CGI, SHTM, MSG, OFT, SHT, DBX, TBB, ADB, DOC, WAB, ASP, UIN, RTF, VBS, HTML, HTM, PL, PHP, TXT, EML- kiterjesztésű állományaiból gyűjti.

A féreg által küldött hamis levél címe az alábbi szövegtöredékek valamelyikét tartalmazza:

iruslis

antivir

sophos

freeav

andasoftwa

skynet

messagelabs

abuse

fbi

orton

f-pro

aspersky

cafee

orman

itdefender

f-secur

spam

ymantec

antivi

icrosoft

A levél jellemzői:

Tárgysor lehet:

Your product

Your letter

Re: corrected homework

Re: I've found your document

Re: Your bill

Re: hello again

Re: hi again

Re: part 3

Re: important document part 2

Re: important

Re: Your data

Re: Your application

Re: your music

Re: excel document

Re: Re: Re: word document

Re: Your details

Re: My details

Re: Your requested file

Re: Read it immediately

Re: Approved

Re: Your software

Re: my memberlist

Re: Your document

Re: Your file

Re: Your important document

www..tripod.com

Hi Mr.

Moi

Yours faithfully,

Message to

Hi Mrs.

Is .doc yours?

Is .xls yours?

Whats up

www.paypal.com/

Best

Love

Good morning

Have a good day

Dear

To , it's me

Welcome

Moin

Hello

Your account is expired!

Hey

www..freepage.com, your website

Hi , your product

Hello , your letter

Re: Hi , your archive

Re: , your text

Re: Hello , your bill

Re: Hi , your details

Re: Hello , my details

Re: Hi , your word file

Re: Hello , your excel file

Re: Hi , details

Re: Hello , Approved

Re: Hello , your software

Re: Hi , your music

Re: Dear , Here

Re: Re: Re: Hello , your document

Re: Hi

Re: Dear , Hi

Re: Re: Hi , your message

Re: Here , your picture

Re: Hi , here is the document

Re: Hello , your document

Re: , thanks!

Re: Re: , thanks!

Re: Re: Hi , document

Re: Hello , document

Az üzenet szövege ezek közül valamelyik:

My details are in the attached file.

I have corrected your document.

Please do not forget to read the important document.

I have an interesting document about you.

The sample is attached.

Your personal document is attached.

Your file is attached to this mail.

Note that I have attached your file.

The important document is attached.

Please read the document. It's important.

Your document is attached to this mail.

See the attachment for further details.

Your file is attached. Use this password for the file: .

Please read the attached file. Password for the file is .

Please have a look at the attached file. Password for decrypting is .

See the attached file for details. Password is .

Here is the file. My password is .

Your document is attached. Your password is .

where is a variable number.

Csatolt állomány:

website_.pif

your_product_.pif

letter_.pif

archive.pif

your_text.pif

bill_.pif

your_details.pif

_details.pif

_document_word.pif

_document_excel.pif

_my_details.pif

_all_document.pif

_application.pif

mp3music_.pif

yours.pif

document_4351.pif

_picture.pif

_file.pif

_message_details.pif

yourpicture.pif

_document_full.pif

_your_message_part2.pif

information.pif

document.pif

_your_document.pif

Elvileg 2004 március 10-én a W32/Netsky-K által fertőzött gépek valamelyike délelőtt 10 - 11 óra között valami tetszés szerinti dallamot játszik.

A vírusanalízis üzenetről nem számol be - ettől függetlenül lehet, hogy van. A vírusírók ebben a harcban egymásnak üzennek, de nekünk is: soha ne nyissunk meg ismeretlen tömörített csatolmányokat, mert ezzel a fertőzést, a háborújukat segítjük elő - ami nekünk rosszabb.

A féreg eltávolítása: frissítsük víruskeresőnket, és on demand módszerrel nézessük át gépünket. A nagyobb víru irtó szoftware cégeknek van általában minden variánshoz speciális eltávolító. Egyet töltsünk le, indítsuk a gépünket csökkentett módban, és futtassuk le a féregeltávolítót. Erre azért van szükség, hogy a memóriát megtisztítsuk. Utána reboot, és rendes OS futás mellett ismételjük meg a műveletet.