Connect with us

technokrata

Netsky.C – agresszív féregvírus

Dotkom

Netsky.C – agresszív féregvírus

A Netsky legújabb változata egyrészt képes jópár kártevőt kipucolni a rendszerből, másrészt viszont igen agresszíven igyekszik terjedni.

A féreg paraméterei

Felfedezésének ideje: 2004. február 24.
Utolsó frissítés ideje: 2004. február 25.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 25.352 byte
Fertőzések száma: 50-999
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Megjegyzés: A kártevő olyan virulensnek bizonyult, hogy a Symantec külön eltávolító eszközt adott ki, ez letölthető a cikk végén található Kapcsolódó linkek részlegből.

Aktiválódása esetén lezajló események

– létrehozza a [SkyNet.cz]SystemsMutex nevű mutexet, így csak egyszer kerülhet futtatásra a féreg
– bemásolja magát a Windows könyvtárba Winlogon.exe névvel
– hozzáadja az ICQ Net = [Windows elérési útvonala]/winlogon.exe -stealth bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– letörli a Taskmon, Explorer, Windows Services Host, KasperskyAV értékeket a következő Registry kulcsokból:
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
. HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
– letörli a System., msgsvr32, DELETE ME, service, Sentry bejegyzéseket a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcsból
– letörli a d3dupdate.exe, au.exe, OLE bejegyzéseket a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcsból
– letörli a System. bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Runservices Registry kulcsból
– letörli a HKEY_CLASSES_ROOT/CLSID/{E6FB5E20-DE35-11CF-9C87-00AA005127ED}/InProcServer32; a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/PINF és a HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/WksPatch Registry kulcsokat
– e-mailcímeket gyűjt a következő kiterjesztéssel bíró állományokból: .eml, .txt, .php, .pl, .htm, .html, .vbs, .rtf, .uin, .asp, .wab, .doc, .adb, .tbb, .dbx, .sht, .oft, .msg, .shtm, .cgi, .dhtm
– átnézi a C és Y betűjelű meghajtókat, Shar szöveget tartalmazó könyvtárak után kutatva; amennyiben talál (s az adott meghajtó nem CD-ROM), a féreg felmásolja magát ide és az aktuális mappa minden alkönyvtárába a következő neveken:
. Microsoft WinXP Crack.exe
. Teen Porn 16.jpg.pif
. Adobe Premiere 9.exe
. Adobe Photoshop 9 full.exe
. Best Matrix Screensaver.scr
. Porno Screensaver.scr
. Dark Angels.pif
. XXX hardcore pic.jpg.exe
. Microsoft Office 2003 Crack.exe
. Serials.txt.exe
. Screensaver.scr
. Full album.mp3.pif
. Ahead Nero 7.exe
. Virii Sourcecode.scr
. E-Book Archive.rtf.exe
. Doom 3 Beta.exe
. How to hack.doc.exe
. Learn Programming.doc.exe
. WinXP eBook.doc.exe
. Win Longhorn Beta.exe
. Dictionary English – France.doc.exe
. RFC Basics Full Edition.doc.exe
. 1000 Sex and more.rtf.exe
. 3D Studio Max 3dsmax.exe
. Keygen 4 all appz.exe
. Windows Sourcecode.doc.exe
. Norton Antivirus 2004.exe
. Gimp 1.5 Full with Key.exe
. Partitionsmagic 9.0.exe
. Star Office 8.exe
. Magix Video Deluxe 4.exe
. Clone DVD 5.exe
. MS Service Pack 5.exe
. ACDSee 9.exe
. Visual Studio Net Crack.exe
. Cracks & Warez Archive.exe
. WinAmp 12 full.exe
. DivX 7.0 final.exe
. Opera.exe
. IE58.1 full setup.exe
. Smashing the stack.rtf.exe
. Ulead Keygen.exe
. Lightwave SE Update.exe
. The Sims 3 crack.exe
– saját SMTP-motorját felhasználva a fenti eljárással begyűjtött e-mailcímekre továbbítja magát (igen változó karakterisztikában), melyhez a helyi DNS szervert használja fel; ha ez nem jár sikerrel, akkor az alábbi IP-címen levő szerverekkel próbálkozik:
. 145.253.2.171
. 151.189.13.35
. 193.141.40.42
. 193.189.244.205
. 193.193.144.12
. 193.193.158.10
. 194.25.2.129
. 194.25.2.129
. 194.25.2.130
. 194.25.2.131
. 194.25.2.132
. 194.25.2.133
. 194.25.2.134
. 195.185.185.195
. 195.20.224.234
. 212.185.252.136
. 212.185.252.73
. 212.185.253.70
. 212.44.160.8
. 212.7.128.162
. 212.7.128.165
. 213.191.74.19
. 217.5.97.137
. 62.155.255.16
– ZIP file-okat hoz létre a Windows mappában, melyek a férget tartalmazzák; az állományok nevei egyezőséget mutatnak az e-mailben használt csatolmánynevekkel
– amennyiben a helyi rendszeridő reggel hat és nyolc óra között van, a rendszerdátum pedig február 16-a, számítógép speakerét folyamatosan sípolásra bírja



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek