W32/Netsky.s@MM: a legújabb változat is közepesen veszélyes

forrás Prim Online, 2004. április 6. 20:40
Az AVERT, a Network Associates vírusszakértői csoportja magasabb veszélyességi kategóriába sorolta át a W32/Netsky.s@MM férget. A közlemény szerint a Netsky.s "közepes" veszélyt jelent az otthoni és a vállalati felhasználók számára egyaránt. Az új besorolást az előfordulás gyakoriságának növekedése tette szükségessé.
A vírus főbb jellemzői:

saját SMTP motor a levelezéshez
a fertőzött gép email-címeinek begyüjtése
hamis feladó feltüntetése
hátsó-ajtó komponens (TCP 6789)
egy adott dátumon DoS túlterheléses támadás indítása
A vírus az alábbi néven másolja magát a Windows rendszerkönyvtárba:
EASYAV.EXE (18,432 bájt)
Ugyanott egy base-64 kódolású másolatot helyez el magáról:
%WinDir%\UINMZERTINMDS.OPM
Az indításkor az alábbi kulcs segítségével tölti be magát:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Run "EasyAV" = %WinDir%\EASYAV.EXE,
ahol a %WinDir% a Windows könyvtár.

A saját SMTP levelező motor a helyi rendszerről gyűjti össze a címeket, a következő típusú fájlokból:

adb, .asp, .cfg, .cgi, .dbx, .dhtm, .doc, .eml, .htm, .html, .jsp, .mbx, .mdx, .mht, .mmf, .msg, .nch, .ods, .oft, .php, .pl, .ppt, .rtf, .sht, .shtm, .stm, .tbb, .txt, .uin, .vbs, .wsh, .wab, .xls és .xml

A fertőzött email további ismertetőjegyei:

Tárgy: az alábbi listából:
Hello!
Hi!
Re: Important
Important
Re: My details
My details
Re: Your information
Your information
Re: Your details
Your details
Re: Your document
Your document
Re: Request
Request
Re: Thanks you!
Thank you!
Re: Approved
Approved
Re: Hello
Re: Hi
Hello
Hi

Feladó: (Hamis cím)

Szöveg: változó

Csatolt állomány:

account
postcard
sample
developement
concept
story
report
icq_number
e-mail
phone_number
personal_message
photo_document
order
important_document
diggest
final_version
release
answer
bill
notice
requested_document
description
summary
picture_document
movie_document
approved_document
old_document
document
mail
letter
homepage
detailed_document
powerpoint_document
excel_document
word_document
info
information
text
new_document
textfile
user_list
improved_file
secound_document
file
number_list
contact_list
message
note
improved_document
details
instructions
presentation_document
abuse_list
archive
corrected_document
list
approved_file

A W32/Netsky.s@MM vírust április 4-én fedezték fel, és a kiadott 4348-as DAT fájl már tartalmazza a vírus felismeréséhez szükséges információt.