Netsky

CRM
 Oracle CRM
Ochrona
 Usuń wirusy
 Programy
 Trend Micro
 Uaktualnienia
 Sklep
                 

WORM_NETSKY.C, znany także jako : Win32.HLLM.Foo.41984, Worm/NetSky.C, I-Worm/Netsky.C, W32.Netsky.C@mm, W32/Netsky.c@MM, Win32/Netsky.C@mm, I-Worm.NetSky.c, W32/Netsky.C@mm!petite

Po zainstalowaniu program robaka sprawdza, czy system nie został już wcześniej zainfekowany. Następnie w pliku WINLOGON.EXE zlokalizowanym w katalogu Windows umieszcza kopię kodu (w systemach Windows NT, 2000 i XP  WINLOGON.EXE jest standardową aplikacją). Informacja opracowana przez D.Kapica na podstawie materiałów Trend Micro
Tworzone są także wątki obsługi procesu masowej replikacji rozprzestrzeniania poprzez pocztę email oraz modyfikowany jest klucz rejestru:

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
ICQ Net = "%Windows%\winlogon.exe -stealth"

Interesującym efektem działania robaka jest wykrywanie i wyłączanie aktywnych procesów charakterystycznych dla innych wirusów, a zwłaszcza WORM_MYDOOM.A,WORM_MYDOOM.B, WORM_MIMAIL.T, WORM_NETSKY.A, WORM_NETSKY.B,

Wirus oszukuje odbiorcę umieszczając w polu nadawcy jeden z adresów znalezionych w zasobach ofiary. Oto jak może wyglądać przykładowa poczta z robakiem Netsky:

Temat:
• ? hi read it immediatelly
• believe me
• Delivery Failed
• goodmorning
• hello
• Here is it
• hey trust me
• illegal...
• I'm back!

Treść:
• <...>
• <09580985869gj>
• <Antispam complete>
• <Attached Msg>
• <Attachment from Poland>
• <Attachment Signature 34933920>
• <Automailer>

Załącznik:
• 454543403
• aboutyou
• associal
• attach2
• attachment
• auction
• bill
• birth
• card
• class_photos

Dodatkowo kopie wirusa umieszczane są w folderach, których nazwy zawierają "shar", warto wspomnieć, że dotyczy to także popularnych aplikacji do współdzielenia plików, np. \KaZaA\My Shared Folder.). Lokowane tam pliki mogą mieć nazwy:
Informacja opracowana przez D.Kapica na podstawie materiałów Trend Micro

1000 Sex and more.rtf.exe

3D Studio Max 3dsmax.exe

ACDSee 9.exe

Adobe Photoshop 9 full.exe

Sygnałem działania wirusa jest sekwencja sygnałów dźwiękowych.

W swojej nowej wersji, oznaczonej nazwami: W32.Netsky.Q@mm, Win32/Netsky.P@mm,  Worm/NetSky.P, W32/Netsky.P.worm oprócz wykorzystania słabości systemu Internet Explorer (wystarczy po prostu otworzyć otrzymana pocztę email), wirus rozprzestrzenia się do wspóldzielonych w sieci folderów, zawierających w nazwie następujące ciągi znaków:

bear,donkey,download, ftp,htdocs,http,icq,kazaa, lime,morpheus, mule,my shared folder, shar, shar,shared files,upload,

Dodatkowo kasuje szereg wpisów w rejestrach systemowych, wyłączając między innymi znane robaki jak: BAGLE, NACHI, MYDOOM czy DEADHAT.

Jak usunąć ?

Najprościej użyć oprogramowania Trend Micro , skanować zasoby systemowe a następnie  zatrzymać zlokalizowane w ten sposób uruchomione przez wirus procesy (w przypadku Windows 95/98/ME wcisnąć CTRL+ALT+DELETE, wybrać nazwę i zakończyć zadanie).
Ewentualnie można skorzystać z bezpłatnego narzędzia SYSCLEAN
Warto także zajrzeć na stronę: http://www.microsoft.com/technet/security/bulletin/MS01-020.mspx

Opracowano na podstawie materiałów Trend Micro
© 2004 Trend Micro Incorporated. All Rights Reserved

 Informacja opracowana przez D.Kapica na podstawie materiałów Trend Micro

 

 

               

Copyright  Air Trend 1999-2004