W32/Netsky.j@MM: közepesen veszélyes a vírus újabb változata

forrás Prim Online, 2004. március 9. 18:10
A jelenlegi Netsky.j verzió a nemrég kitört Netsky.d újracsomagolt formája. Az AVERT, a Network Associates vírusszakértői csoportja magasabb veszélyességi kategóriába sorolta át a W32/Netsky.j@MM email-férget. A közlemény szerint a Netsky.j "közepes" veszélyt jelent az otthoni és a vállalati felhasználók számára egyaránt. Az új besorolást az előfordulás gyakoriságának növekedése tette szükségessé.
A W32/Netsky.j@MM verzió is tartalmaz saját SMTP levelező motort. A levelező komponens a helyi rendszerről gyűjti össze a címeket, a következő típusú fájlokból: .adb, .asp, .cgi, .dbx, .dhtm, .doc, .eml, .htm, .oft, .php, .pl, .rtf, .sht, .shtm, .msg, .tbb, .txt, .uin, .vbs, .wab. Ezek után lekéri a DNS kiszolgálóról az MX rekordot, és közvetlenül a célba vett tartomány MTA-ján keresztül küldi el az üzenetet.

A féreg testében rögzített IP címek felé irányuló kommunikáció a fertőzöttség egyik jele. A címek a következők:

145.253.2.171
151.189.13.35
193.141.40.42
193.189.244.205
193.193.144.12
193.193.158.10
194.25.2.129
194.25.2.130
194.25.2.131
194.25.2.132
194.25.2.133
194.25.2.134
195.185.185.195
195.20.224.234
212.185.252.136
212.185.252.73
212.185.253.70
212.44.160.8
212.7.128.162
212.7.128.165
213.191.74.19
217.5.97.137
62.155.255.16

A vírus nem küldi tovább magát, ha a címben megtalálhatóak a következő szavak: Abuse, fbi, orton, f-pro, aspersky, cafee, orman, itdefender, f-secur, avp, skynet, spam, messagelabs, ymantec, antivi vagy icrosoft.

A vírus az alábbi néven másolja magát a Windows rendszerkönyvtárba:

· C:\WINNT\WINLOGON.EXE (22,016 bytes)
Az indításkor az alábbi kulcs segítségével tölti be magát:
· HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"ICQ Net" = %WinDir%\WINLOGON.EXE

A fertőzött email további ismertetőjegyei:

Feladó: (Hamis cím)
Tárgy: az alábbi listából:
Re: Hello
Re: Hi
Re: Thanks!
Re: Document
Re: Message
Re: Here
Re: Details
Re: Your details
Re: Approved
Re: Your document
Re: Your text
Re: Excel file
Re: Word file
Re: My details
Re: Your music
Re: Your bill
Re: Your letter
Re: Document
Re: Your website
Re: Your product
Re: Your document
Re: Your software
Re: Your archive
Re: Your picture
Re: Here is the document

Szöveg: az alábbi listából:
Here is the file.
Your file is attached.
Your document is attached.
Please read the attached file.
Please have a look at the attached file.
See the attached file for details.

Csatolt állomány: PIF kiterjesztésű fájlok az alábbi listából:
yours.pif
your_text.pif
your_bill.pif
mp3music.pif
document.pif
my_details.pif
your_file.pif
your_website.pif
your_product.pif
your_letter.pif
your_archive.pif
your_details.pif
document_word.pif
all_document.pif
application.pif
your_picture.pif
document_excel.pif
document_4351.pif
document_full.pif
message_part2.pif
your_document.pif
message_details.pif

A W32/Netsky.j@MM vírust március 8-án fedezték fel, és az aznap kiadott 4335-ös DAT fájl már tartalmazza a vírus felismeréséhez szükséges információt. A felismeréshez és eltávolításhoz a legfrissebb DAT és EXTRA.DAT fájlok már elérhetőek a http://vil.nai.com/vil/included-in-dat.htm címen.