W32/Netsky-J - Egy órán belül két vírusvariáns

Geza Papp, 2004. március 9. 08:08
Optimistább voltam a kelleténél. Azt sejtettem, hogy az úgy néz ki, hogy "végeláthatatlan háborúban" - ami a vírusírók között van, folytatják a variánsok írását. Az azonban meglepett, hogy egy órán belül két jól elkülöníthető Netsky variáns jelent meg. A Sophos antivirus a levelet magyar idő szerint 2004. 03. 08. 21:59 - kor küldte, és megérkezett 22:19 -kor.

W32/Netsky-J

Fajta: Win32 worm

Az új variáns analízise folyamatban van, az eddigi eredményeket közölték a szakértők. Sophos számtalan jelzést kapott e féreg aktivitásáról is, bár csak most identifikálják.

Leírás:

A W32/Netsky-J tipikus e-mail féreg, amelyik a leveleit saját SMTP szerverén továbbítja a merevlemezek állományaiból begyűjtött címekre.

Első futásakor winlogon.exe néven másolja be magát a windows könyvtárba, és a rendszer-indításkori folyamatokkal párhuzamos futása miatt a registrybe az alábbi bejegyzést teszi:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ICQ Net

=\winlogon.exe -stealth

A levél jellemzői:

Tárgy lehet:

Re: Your website

Re: Your product

Re: Your letter

Re: Your archive

Re: Your text

Re: Your bill

Re: Your details

Re: My details

Re: Word file

Re: Excel file

Re: Details

Re: Approved

Re: Your software

Re: Your music

Re: Here

Re: Re: Re: Your document

Re: Hello

Re: Hi

Re: Re: Message

Re: Your picture

Re: Here is the document

Re: Your document

Re: Thanks!

Re: Re: Thanks!

Re: Re: Document

Re: Document

Az üzenet ezek valamelyike:

Your file is attached.

Please read the attached file.

Please have a look at the attached file.

See the attached file for details.

Here is the file.

Your document is attached.

Csatolt állomány:

your_website.pif

your_product.pif

your_letter.pif

your_archive.pif

your_text.pif

your_bill.pif

your_details.pif

document_word.pif

document_excel.pif

my_details.pif

all_document.pif

application.pif

mp3music.pif

yours.pif

document_4351.pif

your_file.pif

message_details.pif

your_picture.pif

document_full.pif

message_part2.pif

document.pif

your_document.pif

Nem untatni szeretnénk a Tisztelt Olvasót, csak bemutatni, hogyan néz ki egy nyugodtnak induló este valójában. Eddig órákon belül két jelentősen eltérő féreg variáns jelent meg. A teljes analíziseredményével írásunkat természetesen kiegészítjük.

Én azért nem adom fel a reményt, hogy ezt a tarthatatlan állapotot a hálózat állampolgárai meg tudják szüntetni, és megtanulják végre azt az aranyszabályt, hogy ezekben a hetekben semmilyen e-mailben ne bízzanak, főleg, ha melléklete van, még ha a legjobb barátjuktól kapták, akkor sem. Töröljék, vagy kérjenek visszaigazolást a fertőzést támogató kíváncsiság helyett.

Időközben megtörtént a W32/Netsky-J teljes analízise, ennek ismeretében kiegészítjük a leírást:

A féreg megpróbálja leállítani, és törölni a registry bejegyzésekből a gép rendszervédelmi folyamatait.

Ezen túl természetesen törli azokat az állományokat, melyeket egy régebbi Bagle, vagy MyDoom fertőzés maradványai:

Taskmon, Explorer, KasperskyAv, system., msgsvr32, DELETE ME, service, Sentry, Windows Services Host

Hasonlóan az alábbi registry kulcs bejegyzéseit:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

melyek a következők lehetnek:

Explorer, KasperkyAv, d3dupdate.exe, au.exe, OLE, Windows Services Host
egyben törli a szintén előző W32/Bagle és W32/MyDoom variánsok fertőzésére utaló kulcsokat, ezzel a fertőzések generálta folyamatokat:

HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
HKLM\System\CurrentControlSet\Services\WksPatch
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\PINF

A W32/Netsky-J a címeket a merevlemez alábbi kiterjesztésű állományaiból gyűjti:

DHTM, CGI, SHTM, MSG, OFT, SHT, DBX, TBB, ADB, DOC, WAB, ASP, UIN, RTF, VBS, HTML, HTM, PL, PHP, TXT, EML

A féreg leveleinek címzései az alábbi szavakat, töredékeket tartalmazzák:
skynet
messagelabs
abuse
fbi
orton
f-pro
aspersky
cafee
orman
itdefender
f-secur
spam
ymantec
antivi
icrosoft

Egyebekben a tulajdonsága megegyezik a Netsky.K variánséval, és az eltávolítását is úgy kell elvégezni. Megjegyezném, hogy vélhetően a -J verziót korábban találták, de analízise tovább tartott, ezért írtam én is először az ezt követő -K variánsról.