Óvatosan terjed a Netsky féreg legújabb változata

A fertőzött e-mail jellemzői

Tárgy: egy Re: előtaggal ellátott angol szó (néhány példa: Document, Approved, Text, Thank you!, Details)

Tartalom: a következők egyike:
. Your document is attached.
. Here is the file.
. Please view the attached file.
. See the attached file for details.
. Please take the attached file.
. Please have a look at the attached file.
. Please read the attached file.
. Your file is attached.
. For furher details see the attached file.

Csatolmány: egy ZIP kiterjesztésű, Your_ vagy My_ előtaggal ellátott angol szó (néhány példa: Your_Contacts.pif, Your_E-Books.pif, Your_Bill.pif, Your_Error.pif)

A féreg paraméterei

Felfedezésének ideje: 2004. április 21.
Utolsó frissítés ideje: 2004. április 22.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Macintosh, UNIX, Linux, OS/2
Mérete: 17.408 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: kicsi
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– bemásolja magát a Windows könyvtárba Winlogon.scr néven
– hozzáadja a SkynetRevenge=[Windows elérési útvonala]/winlogon.scr bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– létrehozza a MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D ˝nevű˝ mutexet, megakadályozandó a memóriába való többszöri betöltődését
– amennyiben a file nem tartalmazza az scr sztringet, megjelenít egy Error fejlécű, Out of system memory szövegű álhibaüzenetet
– felméri a rendszerben található merevlemez(ek)en azokat az állományokat, melyekben e-mailcímekre bukkanhat; ezután ki is gyűjti ezeket az eléréseket
– saját SMTP-motorja révén továbbítja magát a fent említett módon összegyűjtött címekre; ám néhány címet, melyek antivírus gyártókkal kapcsolatosak, kihagy
– önmaga elküldésére az alapértelmezett DNS szervert használja fel, hogy megszerezze az e-mailszerver IP-címét; amennyiben ez nem sikerülne, a benne előre eltárolt címek valamelyikét próbálja ki