W32/Netsky-K: A harc folytatódik
Fajta: Win32 worm. A Sophos számtalan jelzést kapott a féreg tevékenységéről.
Leírás:
Első futásakor a számítógépen,
mint "user log's bemásolja magát avpguard.exe
néven a Windows könyvtárba, és a registryben az alábbi bejegyzést teszi egy
kulcshoz, biztosítva ezzel, hogy minden rendszerindításkor az első programokkal
fusson:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\My
AV
=
Törli az alábbi fájlokat
(melyek a MyDoom, ill Bagle fertőzés) maradványai:
Taskmon, Explorer, system.,
msgsvr32, DELETE ME, service, Sentry, Windows Services Host
Ezen kívül az alábbi registry
kulcsból:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
a következő bejegyzések
valamelyikét, melyet megtalál:
Explorer, d3dupdate.exe, au.exe,
OLE, Windows Services Host, gouday.exe, rate.exe, sate.exe, ssate.exe,
srate.exe, sysmon.exe.
A W32/Netsky-K törli még a
registry bejegyzések közül a következőket:
HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
HKLM\System\CurrentControlSet\Services\WksPatch
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\PINF
Az általa törölt összes
bejegyzés, kulcs, fájl a W32/Bagle és a
W32/MyDoom víruscsaládok fertőzésének
maradványa...
A W32/Netsky-K az e - mail
címeket a merevlemez
XML, WSH, JSP, DHTM, CGI, SHTM, MSG, OFT, SHT, DBX, TBB, ADB, DOC, WAB,
ASP, UIN, RTF, VBS, HTML, HTM, PL, PHP, TXT, EML- kiterjesztésű
állományaiból gyűjti.
A féreg által küldött hamis
levél címe az alábbi szövegtöredékek valamelyikét tartalmazza:
iruslis
antivir
sophos
freeav
andasoftwa
skynet
messagelabs
abuse
fbi
orton
f-pro
aspersky
cafee
orman
itdefender
f-secur
spam
ymantec
antivi
icrosoft
A levél jellemzői:
Tárgysor lehet:
Your product
Your letter
Re: corrected homework
Re: I've found your document
Re: Your bill
Re: hello again
Re: hi again
Re: part 3
Re: important document part 2
Re: important
Re: Your data
Re: Your application
Re: your music
Re: excel document
Re: Re: Re: word document
Re: Your details
Re: My details
Re: Your requested file
Re: Read it immediately
Re: Approved
Re: Your software
Re: my memberlist
Re: Your document
Re: Your file
Re: Your important document
www.
Hi Mr.
Moi
Yours faithfully,
Message to
Hi Mrs.
Is
Is
Whats up
www.paypal.com/
Best
Love
Good morning
Have a good day
Dear
To
Welcome
Moin
Hello
Your account
Hey
www.
Hi
Hello
Re: Hi
Re:
Re: Hello
Re: Hi
Re: Hello
Re: Hi
Re: Hello
Re: Hi
Re: Hello
Re: Hello
Re: Hi
Re: Dear
Re: Re: Re: Hello
Re: Hi
Re: Dear
Re: Re: Hi
Re: Here
Re: Hi
Re: Hello
Re:
Re: Re:
Re: Re: Hi
Re: Hello
Az üzenet szövege ezek közül
valamelyik:
My details are in the attached
file.
I have corrected your document.
Please do not forget to read the important document.
I have an interesting document about you.
The sample is attached.
Your personal document is attached.
Your file is attached to this mail.
Note that I have attached your file.
The important document is attached.
Please read the document. It's important.
Your document is attached to this mail.
See the attachment for further details.
Your file is attached. Use this
password for the file:
Please read the attached file.
Password for the file is
Please have a look at the
attached file. Password for decrypting is
See the attached file for
details. Password is
Here is the file. My password is
Your document is attached. Your
password is
where
Csatolt állomány:
website_
your_product_
letter_
archive
your_text
bill_
your_details
mp3music_
yours
document_
yourpicture
Elvileg 2004 március 10-én a W32/Netsky-K
által fertőzött gépek valamelyike délelőtt 10 - 11 óra között valami tetszés
szerinti dallamot játszik.
A vírusanalízis üzenetről nem
számol be - ettől függetlenül lehet, hogy van. A vírusírók ebben a harcban
egymásnak üzennek, de nekünk is: soha ne nyissunk meg ismeretlen tömörített
csatolmányokat, mert ezzel a fertőzést, a háborújukat segítjük elő - ami nekünk
rosszabb.
A féreg eltávolítása: frissítsük víruskeresőnket, és on demand módszerrel nézessük át gépünket. A nagyobb víru irtó szoftware cégeknek van általában minden variánshoz speciális eltávolító. Egyet töltsünk le, indítsuk a gépünket csökkentett módban, és futtassuk le a féregeltávolítót. Erre azért van szükség, hogy a memóriát megtisztítsuk. Utána reboot, és rendes OS futás mellett ismételjük meg a műveletet.
Kapcsolódó cikkek
- Hangüzenet kíséretében pusztít a BotVoice.A trójai
- Az AIDS veszélyeire hívja fel a figyelmet egy új vírus
- Vírust terjeszt a hamis Adobe letöltőoldal
- Az adathalászat növekedést, a botok előfordulása csökkenést mutat
- Totális háború: egymillió vírus készenlétben
- Májusi kémprogram toplista
- Terjed a YouTube-os vírus
- 10 antivírus-szoftver megbukott a júniusi VB 100 teszten
- Sophos biztonsági megoldás a General Electric 350.000 gépén
- Piacvezető itthon a NOD32
Biztonság ROVAT TOVÁBBI HÍREI
Felmérés: a hollandiai szervezetek negyede nincs felkészülve kibertámadásra
Hollandiában a közepes és nagyvállalatok negyede nincs felkészülve egy esetleges kibertámadásra – jelentette hétfőn az NLTimes című holland hírportál a KPN holland távközlési vállalat megrendelésére készült felmérésre hivatkozva, amelyben kiemelik az egészségügyi szektor veszélyeztetettségét is.