A Netsky újra támad

A fertőzött e-mail jellemzői

Feladó: hamis e-mailcím
Tárgy: a következők valamelyike:
– Re: Your website
– Re: Your product
– Re: Your letter
– Re: Your archive
– Re: Your text
– Re: Your bill
– Re: Your details
– Re: My details
– Re: Word file
– Re: Excel file
– Re: Details
– Re: Approved
– Re: Your software
– Re: Your music
– Re: Here
– Re: Re: Re: Your document
– Re: Hello
– Re: Hi
– Re: Re: Message
– Re: Your picture
– Re: Here is the document
– Re: Your document
– Re: Thanks!
– Re: Re: Thanks!
– Re: Re: Document
– Re: Document
Tartalom: az alábbiakból egy:
– Your file is attached.
– Please read the attached file.
– Please have a look at the attached file.
– See the attached file for details.
– Here is the file.
– Your document is attached.
Csatolmány: egy .pif kiterjesztéssel bíró állomány

A féreg paraméterei

Felfedezésének ideje: 2004. március 8.
Utolsó frissítés ideje: 2004. március 8.
Veszélyeztetett rendszerek: Windows 3.x/9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Macintosh, UNIX, Linux, OS/2
Mérete: 22.016 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– létrehozza a LK[SkyNet.cz]SystemsMutex nevű mutexet, így csak egyszer kerülhet futtatásra a féreg
– bemásolja magát a Windows könyvtárba winlogon.exe névvel
– hozzáadja az ICQ Net = [Windows elérési útvonala]/winlogon.exe -stealth bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– letörli a Taskmon, Explorer, Windows Services Host, KasperskyAv, system., msgsvr32, DELETE ME, service, Sentry értékeket a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcsból
– letörli a system. bejegyzést a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run kulcsból
– letörli HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcsból az alábbi bejegyzéseket:
. d3dupdate.exe
. au.exe
. OLE
. Taskmon
. Explorer
. KasperskyAv
. Windows Services Host
– letörli a HKEY_CLASSES_ROOT/CLSID/{E6FB5E20-DE35-11CF-9C87-00AA005127ED}/InProcServer32; a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/PINF és a HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/WksPatch Registry kulcsokat
– átnézi a C és Y betűjelek közé eső meghajtókat és e-mailcímeket gyűjt a következő kiterjesztéssel bíró állományokból: .eml, .txt, .php, .pl, .htm, .html, .vbs, .rtf, .uin, .asp, .wab, .doc, .adb, .tbb, .dbx, .sht, .oft, .msg, .shtm, .cgi, .dhtm
– saját SMTP-motorját felhasználva a fenti eljárással begyűjtött e-mailcímekre továbbítja magát (igen változó karakterisztikában), melyhez a helyi DNS szervert használja fel; ha ez nem jár sikerrel, akkor az alábbi IP-címen levő szerverekkel próbálkozik:
. 145.253.2.171
. 151.189.13.35
. 193.141.40.42
. 193.189.244.205
. 193.193.144.12
. 193.193.158.10
. 194.25.2.129
. 194.25.2.129
. 194.25.2.130
. 194.25.2.131
. 194.25.2.132
. 194.25.2.133
. 194.25.2.134
. 195.185.185.195
. 195.20.224.234
. 212.185.252.136
. 212.185.252.73
. 212.185.253.70
. 212.44.160.8
. 212.7.128.162
. 212.7.128.165
. 213.191.74.19
. 217.5.97.137
. 62.155.255.16
– a következő sztringet tartalmazó e-mailcímekre nem küldi el magát: skynet, messagelabs, abuse, fbi, orton, f-pro, aspersky, cafee, orman, itdefender, f-secur, avp, spam, ymantec, antivi, icrosoft