Netsky.W – vírusmentes e-mailnek álcázott levélben terjed

A fertőzött e-mail jellemzői

Feladó: hamis e-mailcím

Tárgy, tartalom: változó, ám mindegyik, a férget hordozó e-mail végén a következő négy sor található:
——————————————–
(attachment_name) : No virus found
Powered by the new Norton OnlineScan
Get protected: www.symantec.com

Csatolmány: egy .zip, .pif, .exe vagy .scr kiterjesztésű állomány; elküldhet egy második, GIF kiterjesztésű csatolmányt is

A féreg paraméterei

Felfedezésének ideje: 2004. április 16.
Utolsó frissítés ideje: 2004. április 19.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Macintosh, UNIX, Linux, OS/2
Mérete: 24.064 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: kicsi
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– létrehozza a NetDy_Mutex_Psycho ˝nevű˝ mutexet, megakadályozandó a memóriába való többszöri betöltődését
– bemásolja magát a Windows könyvtárba VisualGuard.exe néven
– létrehozza a következő állományokat a Windows könyvtárban:
. base64.tmp – a féreg MIME-kódolt, futtatható változata
. zip1.tmp, zip2.tmp, zip3.tmp, zip4.tmp, zip5.tmp, zip6.tmp) – a féreg MIME-kódolású, ZIP archívuma
. zipped.tmp – a féreg ZIP formátumba tömörítve
– hozzáadja a NetDy=[Windows elérési útvonala]/VisualGuard.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– ugyanebből a kulcsból letörli a következő (korábbi féregfertőzésekre utaló) bejegyzéseket, ha azok léteznek:
. Explorer
. system.
. msgsvr32
. service
. DELETE ME
. Sentry
. Taskmon
. Windows Services Host
– letörli a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices Registry kulcs system. értékét
– a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcsból letöröl olyan bejegyzéseket (ha léteznek), melyek egy esetleges korábbi féregpárbaj jeleire utalnak:
. Explorer
. au.exe
. d3dupdate.exe
. OLE
. gouday.exe
. rate.exe
. Taskmon
. Windows Services Host
. sysmon.exe
. srate.exe
. ssate.exe
– letörli a rendszerleíró adatbázisból a következő kulcsokat:
. HKEY_CLASSES_ROOT/CLSID/CLSID/{E6FB5E20-DE35-11CF-9C87-00AA005127ED}/InProcServer32
. HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/PINF
. HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/WksPatch
– e-mailcímek után keres számos állományban, majd minden találatra saját SMTP-motorja révén elküldi önmaga másolatát