(Email-Worm.Win32.NetSky.q, Worm:Win32/Netsky.WAA, WORM_NETSKY.DAM, W32/Netsky.p@MM, Worm/Netsky.O.2, Worm/Netsky.Q.105, W32.Netsky.Q@mm, Trojan.Starter.AET, Win32/Gaybar.A, Worm/Netsky.Q.Pk, W32/Netsky.p@MM!zip, Generic.dx, Win32/Netsky.BW@mm, WORM/Netsky.O.2, Packer.FSG.A, Trojan.Win32.Patched.af, W32/Cabanas, I-Worm/Netsky, W32.Netsky.P@mm, Worm/Netsky.P, Win32/Netsky.P!Worm, Win32.Netsky.P@mm.damaged, Win32/Netsky.P@mm, Worm:Win32/Netsky.P@mm)
| Добавлен в вирусную базу Dr.Web: | 2004-03-22 13:20:00 |
Тип вируса: Почтовый червь массовой рассылки
Уязвимые ОС: Win95/98/Me/NT/2000/XP
Размер файла: 29 568 байт
Упакован: FSG
Техническая информация
Распространяется по электронной почте, используя собственную реализацию SMTP протокола.
Для обеспечения своей постоянной работы вносит в секцию автозагрузки реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run запись "Norton Antivirus AV" = %WinDir%\FVProtect.exe.
Создает семафор “_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_” Копирует в %WinDir% файлы userconfig9x.dll, base64.tmp, zip1.tmp, zip2.tmp, zip3.tmp, zipped.tmp. Для своего распространения сканирует локальные диски компьютера, просматривая в поиске адресов файлы с такими расширениями: .pl
.htm
.html
.eml
.txt
.php
.asp
.wab
.doc
.vbs
.rtf
.uin
.shtm
.cgi
.dhtm
.adb
.tbb
.dbx
.sht
.oft
.msg
.jsp
.wsh
.xml
Тема сообщения выбирается из списка: You were registered to the pay system.
Can you confirm it?
Is that your password?
Re: Is that your document?
all_doc01
document04
about_you
your_document
Please read the attached file.
Re: Your document
Re: Approved document
Encrypted_msg01 pgp_sess01
Protected message is attached.
Encrypted message is available.
Mail Authentication Protected Mail System
Please confirm my request
readme msg
Re: Encrypted Mail
Re: Extended Mail
Re: Status
Re: Notify
Re: SMTP Server
Re: Mail Server
Re: Delivery Server
Re: Bad Request
Re: Failure
Re: Thank you for delivery
Re: Test
Re: Administration
Re: Message Error
Re: Error
Re: Extended Mail System
Re: Secure SMTP Message
Re: Protected Mail Request
Re: Protected Mail System
Re: Protected Mail Delivery
Re: Secure delivery
Re: Delivery Protection
Re: Mail Authentification Имя вложения выбирается из списка: text
message data
excel document
screensaver
word document
bill
information
details
file
document
application
website
product
letter
Червь обладает способностью распространяться по файлообменным сетям. Для этого он сканирует локальные диски на наличие папок с такими именами: icq
shar
download
kazaa
donkey
mule
bear
morpheus
lime
В случае обнаружения таких папок, червь копирует в них свои копии с со следующими названиями: XXX hardcore pics.jpg.exe
Dark Angels new.pif
Porno Screensaver britney.scr
Best Matrix Screensaver new.scr
Adobe Photoshop 10 full.exe
Adobe Premiere 10.exe
Teen Porn 15.jpg.pif
Microsoft WinXP Crack full.exe
Adobe Photoshop 10 crack.exe
Windows XP crack.exe
Windows 2003 crack.exe
Arnold Schwarzenegger.jpg.exe
Saddam Hussein.jpg.exe
Cloning.doc.exe
American Idol.doc.exe
Eminem Poster.jpg.exe
Altkins Diet.doc.exe
Eminem blowjob.jpg.exe
The Sims 4 beta.exe
Lightwave 9 Update.exe
Ulead Keygen 2004.exe
Smashing the stack full.rtf.exe
Internet Explorer 9 setup.exe
Opera 11.exe
DivX 8.0 final.exe
WinAmp 13 full.exe
Cracks & Warez Archiv.exe
Visual Studio Net Crack all.exe
ACDSee 10.exe
MS Service Pack 6.exe
Clone DVD 6.exe
Magix Video Deluxe 5 beta.exe
Star Office 9.exe
Partitionsmagic 10 beta.exe
Gimp 1.8 Full with Key.exe
Norton Antivirus 2005 beta.exe
Windows 2000 Sourcecode.doc.exe
Keygen 4 all new.exe
3D Studio Max 6 3dsmax.exe
1001 Sex and more.rtf.exe
RFC compilation.doc.exe
Full album all.mp3.pif
Dictionary English 2004 - France.doc.exe
Win Longhorn re.exe
WinXP eBook newest.doc.exe
Learn Programming 2004.doc.exe
How to hack new.doc.exe
Doom 3 release 2.exe
E-Book Archive2.rtf.exe
netsky source code.scr
Ahead Nero 8.exe
Screensaver2.scr
Serials edition.txt.exe
Microsoft Office 2003 Crack best.exe
Червь подписывает рассылаемые письма от имени различных антивирусов:
+++ Attachment: No Virus found +++ MessageLabs AntiVirus - www.messagelabs.com +++ Attachment: No Virus found
+++ MC-Afee AntiVirus - www.mcafee.com
+++ Attachment: No Virus found
+++ Kaspersky AntiVirus - www.kaspersky.com
+++ Attachment: No Virus found
+++ Panda AntiVirus - www.pandasoftware.com
++++ Attachment: No Virus found
++++ Norman AntiVirus - www.norman.com
++++ Attachment: No Virus found
++++ F-Secure AntiVirus - www.f-secure.com
++++ Attachment: No Virus found
++++ Norton AntiVirus - www.symantec.de
Не рассылает свои копии, если в адресе присутствуют такие комбинации: @microsof
@antivi
@symantec
@spam
@avp
@f-secur
@bitdefender
@norman
@mcafee
@kaspersky
@f-pro
@norton
@fbi
abuse@
@messagel
@skynet
@pandasof
@freeav
@sophos
ntivir
@viruslis
noreply@
spam@
reports@
Помимо своей основной функции (распространения по электронной почте), червь обладает деструктивными функциями:
Удаляет из системного реестра такие ключи:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Explorer
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msgsvr32
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winupd.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\direct.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\jijb
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\DELETE ME
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Sentry
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\system.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\service
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Taskmon
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Video
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows Services Host
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Video
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\system.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Explorer
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Taskmon
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows Services Host
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OLE
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rate.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ssate.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\gouday.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\direct.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winupd.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\d3dupdate.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\au.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\srate.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysmon.exe
Червь также удаляет следующие ключи из реестра:
HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
HKLM\System\CurrentControlSet\Services\WksPatch
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\PINF
В теле червя содержатся текстовые строки, свидетельствующие о негативном отношении авторов семейства почтовых червей Netsky к авторам другого семейства почтовых червей - Beagle:
B+a+g+l+e,
d+o +n+o+t+ d+e+l+e+t+e
S+k+y+N+e+t.
Подставляет в тело письма ссылку на якобы полное письмо. Имя домена подставляется из второй части адреса получателя (@domainname), а имя адресата - из первой части (username@). Например:
------------------------------
From: lola@sexnet.com
To:lola@sexnet.com
Subject: Mail Delivery (failure lola@sexnet.com)
If the message will not displayed automatically,
follow the link to read the delivered message.
Received message is available at: www.sexnet.com/inbox/lola/read.php?sessionid-17423 ------------------------------ Рекомендации по восстановлению системы 1. Загрузить ОС Windows в Безопасном режиме (Safe Mode).
2. Воспользоваться дисковым сканером Dr.Web® либо бесплатной утилитой Dr.Web® CureIT! для сканирования локальных дисков компьютера. Для всех найденных инфицированных файлов необходимо применить действие "Лечить".
3. Восстановить реестр из резервной копии.
Важно! Непосредственно перед выполнением п.2 необходимо настроить используемый почтовый клиент таким образом, чтобы он хранил вложения в виде отдельных файлов, а не в теле почтовой базы. Например, хранение вложений отдельно от почтовой базы в почтовом клиенте TheBat! настраивается следующим образом:
Ящик - Свойства почтового ящика - Файлы и каталоги - Хранить присоединенные файлы в отдельном каталоге (Account - Properties - Files & Directories - Keep attachment files - Separately in a special directory). |
Доктор Веб
Комментариев нет:
Отправить комментарий