W32/Netsky-J
Fajta: Win32 worm
Az új variáns analízise
folyamatban van, az eddigi eredményeket közölték a szakértők. Sophos számtalan
jelzést kapott e féreg aktivitásáról is, bár csak most identifikálják.
Leírás:
A W32/Netsky-J tipikus e-mail
féreg, amelyik a leveleit saját SMTP szerverén továbbítja a merevlemezek
állományaiból begyűjtött címekre.
Első futásakor winlogon.exe néven
másolja be magát a windows könyvtárba, és a rendszer-indításkori folyamatokkal
párhuzamos futása miatt a registrybe az alábbi bejegyzést teszi:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ICQ
Net
=
A levél jellemzői:
Tárgy lehet:
Re: Your website
Re: Your product
Re: Your letter
Re: Your archive
Re: Your text
Re: Your bill
Re: Your details
Re: My details
Re: Word file
Re: Excel file
Re: Details
Re: Approved
Re: Your software
Re: Your music
Re: Here
Re: Re: Re: Your document
Re: Hello
Re: Hi
Re: Re: Message
Re: Your picture
Re: Here is the document
Re: Your document
Re: Thanks!
Re: Re: Thanks!
Re: Re: Document
Re: Document
Az üzenet ezek valamelyike:
Your file is attached.
Please read the attached file.
Please have a look at the attached file.
See the attached file for details.
Here is the file.
Your document is attached.
Csatolt állomány:
your_website.pif
your_product.pif
your_letter.pif
your_archive.pif
your_text.pif
your_bill.pif
your_details.pif
document_word.pif
document_excel.pif
my_details.pif
all_document.pif
application.pif
mp3music.pif
yours.pif
document_4351.pif
your_file.pif
message_details.pif
your_picture.pif
document_full.pif
message_part2.pif
document.pif
your_document.pif
Nem untatni szeretnénk a
Tisztelt Olvasót, csak bemutatni, hogyan néz ki egy nyugodtnak induló este
valójában. Eddig órákon belül két jelentősen eltérő féreg variáns jelent meg. A
teljes analíziseredményével írásunkat természetesen kiegészítjük.
Én azért nem adom fel a
reményt, hogy ezt a tarthatatlan állapotot a hálózat állampolgárai meg tudják
szüntetni, és megtanulják végre azt az aranyszabályt, hogy ezekben a hetekben
semmilyen e-mailben ne bízzanak, főleg, ha melléklete van, még ha a legjobb
barátjuktól kapták, akkor sem. Töröljék, vagy kérjenek visszaigazolást a fertőzést
támogató kíváncsiság helyett.
Időközben megtörtént a W32/Netsky-J teljes
analízise, ennek ismeretében kiegészítjük a leírást:
A féreg megpróbálja leállítani, és törölni a registry bejegyzésekből a gép rendszervédelmi folyamatait.
Ezen túl természetesen törli azokat az állományokat, melyeket egy régebbi Bagle, vagy MyDoom fertőzés maradványai:
Taskmon, Explorer, KasperskyAv, system., msgsvr32, DELETE ME, service, Sentry, Windows Services Host
Hasonlóan az alábbi registry kulcs bejegyzéseit:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
melyek a következők lehetnek:
Explorer, KasperkyAv, d3dupdate.exe, au.exe, OLE, Windows Services Host
egyben törli a szintén előző W32/Bagle és W32/MyDoom variánsok fertőzésére utaló kulcsokat, ezzel a fertőzések generálta folyamatokat:
HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
HKLM\System\CurrentControlSet\Services\WksPatch
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\PINF
A W32/Netsky-J a címeket a merevlemez alábbi kiterjesztésű állományaiból gyűjti:
DHTM, CGI, SHTM, MSG, OFT, SHT, DBX, TBB, ADB, DOC, WAB, ASP, UIN, RTF, VBS, HTML, HTM, PL, PHP, TXT, EML
A féreg leveleinek címzései az alábbi szavakat, töredékeket tartalmazzák:
skynet
messagelabs
abuse
fbi
orton
f-pro
aspersky
cafee
orman
itdefender
f-secur
spam
ymantec
antivi
icrosoft
Egyebekben a tulajdonsága megegyezik a Netsky.K variánséval, és az eltávolítását is úgy kell elvégezni. Megjegyezném, hogy vélhetően a -J verziót korábban találták, de analízise tovább tartott, ezért írtam én is először az ezt követő -K variánsról.