Ismét módosult a Netsky féregvírus

A fertőzött e-mail jellemzői

Feladó: hamis e-mailcím

Tárgy: több részből áll össze; néhány példa a jellemző sztringekre:
– Re: Encrypted Mail
– Re: Extended Mail
– Re: Status
– Re: Notify
– Re: SMTP Server
– Re: Mail Server
– Re: Delivery Server
– Re: Bad Request
– Re: Failure
– Re: Thank you for delivery
– Re: Test
– Re: Administration
– Re: Message Error
– Re: Error
– Re: Extended Mail System
– Re: Secure SMTP Message
– Re: Protected Mail Request
– Re: Protected Mail System
– Re: Protected Mail Delivery
– Re: Secure delivery
– Re: Delivery Protection
– Re: Mail Authentification

Tartalom: egy sok elemből álló listából válogat, néhány példa:
– Please see the attached file for details
– Please read the attached file!
– Your document is attached.
– Please read the document.
– Your file is attached.
– Your document is attached.
– Please confirm the document.
– Please read the important document.
– See the file.
– Requested file.
– Authentication required.
– Your document is attached to this mail.
– I have attached your document.
– I have received your document. The corrected document is attached.
– Your document.
– Your details.

Csatolmány: dupla kiterjesztéssel bír; az első .txt vagy .doc, míg a második .exe, .pif, .scr vagy .zip lehet; a következő neveket használja:
– document05
– websites03
– game_xxo
– your_document

A féreg paraméterei

Felfedezésének ideje: 2004. március 21.
Utolsó frissítés ideje: 2004. március 21.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Macintosh, UNIX, Linux, OS/2
Mérete: 29.568 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– létrehozza a ˝_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_˝ ˝nevű˝ mutexet, így csak egyszer kerülhet futtatásra a féreg
– bemásolja magát a Windows könyvtárba FXProtect.exe névvel; ugyanitt létrehozza a userconfig9x.dll állományt
– létrehozza a Windows könyvtárban a féreg MIME-kódolt állományait (base64.tmp, zip1.tmp, zip2.tmp, zip3.tmp – körülbeül 40 KB-os állományok), illetve ugyanitt önmaga ZIP-tömörített változatát, zipped.tmp néven
– hozzáadja a Norton Antivirus AV = [Windows elérési útvonala]/FVProtect.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– letörli HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcsból az alábbi bejegyzéseket:
. Explorer
. system.
. msgsvr32
. winupd.exe
. direct.exe
. jijbl
. service
. Sentry
– letörli a system. és a Video bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunService kulcsból
– letörli HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcsból az alábbi bejegyzéseket:
. gouday.exe
. rate.exe
. au.exe
. OLE
. Taskmon
. Explorer
. Windows Services Host
. sysmon.exe
. srate.exe
. ssate.exe
– letörli a HKEY_CLASSES_ROOT/CLSID/{E6FB5E20-DE35-11CF-9C87-00AA005127ED}/InProcServer32; a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/PINF és a HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/WksPatch Registry kulcsokat
– átnézi a merevlemezeket olyan könyvtárak után kutatva, melyek tartalmazzák legalább az egyikét a következő sztringeknek; ha talál ilyeneket, bemásolja magát ezekbe a mappákba különböző, figyelemfelkeltő neveken:
. shared files
. kazaa
. mule
. donkey
. morpheus
. lime
. bear
. icq
. shar
. upload
. http
. htdocs
. ftp
. download
. my shared folder
– e-mailcímeket gyűjt a következő kiterjesztéssel bíró állományokból: .eml, .txt, .php, .pl, .htm, .html, .vbs, .rtf, .uin, .asp, .wab, .doc, .adb, .tbb, .dbx, .sht, .oft, .msg, .shtm, .cgi, .dhtm
– saját SMTP-motorját felhasználva a fenti eljárással begyűjtött e-mailcímekre továbbítja magát (igen változó karakterisztikában), melyhez a helyi DNS szervert használja fel; bizonyos címekre nem küldi el magát