Ismét nagy ütemben szaporodik a Netsky féregvírus

A fertőzött e-mail jellemzői

Rengetegféle formában érkezhet a fertőzött levél; mind a tárgy, mind a törzs tekintetében nagyon sok szövegből álló variációt ismer a féreg. A feladót (ahogyan azt már – sajnos – megszokhattuk) meghamisítja, a csatolmányok kiterjesztése pedig dupla formájú:
– első kiterjesztés: .txt, .rtf, .doc, .htm, .jpg, .gif
– második kiterjesztés: .exe, .scr, .com, .pif, .bat, .cmd

A féreg paraméterei

Felfedezésének ideje: 2004. március 1.
Utolsó frissítés ideje: 2004. március 2.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: D változat – 17.424 byte; E változat – 24.840 byte
Fertőzések száma: D változat – 1000 felett; E változat – 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Megjegyzés: A kártevő olyan virulensnek bizonyult, hogy a Symantec külön eltávolító eszközt adott ki, ez letölthető a cikk végén található Kapcsolódó linkek részlegből.

Aktiválódása esetén lezajló események

– létrehozza a [SkyNet.cz]SystemsMutex nevű mutexet, így csak egyszer kerülhet futtatásra a féreg
– bemásolja magát a Windows könyvtárba Winlogon.exe névvel
– hozzáadja az ICQ Net = [Windows elérési útvonala]/winlogon.exe -stealth bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– letörli a Taskmon, Explorer, Windows Services Host, KasperskyAV értékeket a következő Registry kulcsokból:
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
. HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
– letörli a System., msgsvr32, DELETE ME, service, Sentry bejegyzéseket a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcsból
– letörli a d3dupdate.exe, au.exe, OLE bejegyzéseket a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcsból
– letörli a System. bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Runservices Registry kulcsból
– letörli a HKEY_CLASSES_ROOT/CLSID/{E6FB5E20-DE35-11CF-9C87-00AA005127ED}/InProcServer32; a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/PINF és a HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/WksPatch Registry kulcsokat
– átnézi a C és Z betűjel közé eső meghajtókat és e-mailcímeket gyűjt a következő kiterjesztéssel bíró állományokból: .eml, .txt, .php, .pl, .htm, .html, .vbs, .rtf, .uin, .asp, .wab, .doc, .adb, .tbb, .dbx, .sht, .oft, .msg, .shtm, .cgi, .dhtm
– saját SMTP-motorját felhasználva a fenti eljárással begyűjtött e-mailcímekre továbbítja magát (igen változó karakterisztikában), melyhez a helyi DNS szervert használja fel; ha ez nem jár sikerrel, akkor az alábbi IP-címen levő szerverekkel próbálkozik:
. 145.253.2.171
. 151.189.13.35
. 193.141.40.42
. 193.189.244.205
. 193.193.144.12
. 193.193.158.10
. 194.25.2.129
. 194.25.2.129
. 194.25.2.130
. 194.25.2.131
. 194.25.2.132
. 194.25.2.133
. 194.25.2.134
. 195.185.185.195
. 195.20.224.234
. 212.185.252.136
. 212.185.252.73
. 212.185.253.70
. 212.44.160.8
. 212.7.128.162
. 212.7.128.165
. 213.191.74.19
. 217.5.97.137
. 62.155.255.16
– a következő sztringet tartalmazó e-mailcímekre nem küldi el magát: icrosoft, antivi, ymantec, spam, avp, f-secur, itdefender, orman, cafee, aspersky, f-pro, orton, fbi, abuse, messagelabs, skynet
– amennyiben a helyi rendszeridő reggel hat és kilenc óra között van, a rendszerdátum pedig március 2-a, számítógép speakerét folyamatosan sípolásra bírja