Connect with us

technokrata

Újabb, a riválisait kiirtó Netsky féreg terjed

Dotkom

Újabb, a riválisait kiirtó Netsky féreg terjed

A Netsky I változata egy, a Yahoo-tól érkező levélnek tűnik.

A fertőzött e-mail jellemzői

Feladó: service@yahoo.com
Tárgy: a következők valamelyike:
Mail account expired
Mail account closed
Mail account deactivated
Tartalom: az alábbiakból egy:
– Your mail account expired. Please follow the link to reactivate.
– Your mail account has been closed. Click on the link for further details.
– Your mail account has been deactivated. To reactivate, follow the link.
Csatolmány: http://www.yahoo.com/moobia/index.scr

A féreg paraméterei

Felfedezésének ideje: 2004. március 7.
Utolsó frissítés ideje: 2004. március 7.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 22.016 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– létrehozza a KO[SkyNet.cz]SystemsMutex nevű mutexet, így csak egyszer kerülhet futtatásra a féreg
– bemásolja magát a Windows könyvtárba fooding.exe névvel
– hozzáadja az Tiny AV = [Windows elérési útvonala]/fooding.exe -antivirus service bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– letörli a Taskmon, Explorer, Windows Services Host értékeket a következő Registry kulcsokból:
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
. HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
– letörli a System., msgsvr32, DELETE ME, service, Sentry bejegyzéseket a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcsból
– letörli HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcsból az alábbi bejegyzéseket:
. d3dupdate.exe
. au.exe
. OLE
. gouday.exe
. rate.exe
. sysmon.exe
. srate.exe
. ssate.exe
. sate.exe
– letörli a HKEY_CLASSES_ROOT/CLSID/{E6FB5E20-DE35-11CF-9C87-00AA005127ED}/InProcServer32; a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/PINF és a HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/WksPatch Registry kulcsokat
– átnézi a C és Z betűjelek közé eső meghajtókat és e-mailcímeket gyűjt a következő kiterjesztéssel bíró állományokból: .eml, .txt, .php, .pl, .htm, .html, .vbs, .rtf, .uin, .asp, .wab, .doc, .adb, .tbb, .dbx, .sht, .oft, .msg, .shtm, .cgi, .dhtm
– saját SMTP-motorját felhasználva a fenti eljárással begyűjtött e-mailcímekre továbbítja magát (igen változó karakterisztikában), melyhez a helyi DNS szervert használja fel; ha ez nem jár sikerrel, akkor az alábbi IP-címen levő szerverekkel próbálkozik:
. 145.253.2.171
. 151.189.13.35
. 193.141.40.42
. 193.189.244.205
. 193.193.144.12
. 193.193.158.10
. 194.25.2.129
. 194.25.2.129
. 194.25.2.130
. 194.25.2.131
. 194.25.2.132
. 194.25.2.133
. 194.25.2.134
. 195.185.185.195
. 195.20.224.234
. 212.185.252.136
. 212.185.252.73
. 212.185.253.70
. 212.44.160.8
. 212.7.128.162
. 212.7.128.165
. 213.191.74.19
. 217.5.97.137
. 62.155.255.16
– a következő sztringet tartalmazó e-mailcímekre nem küldi el magát: iruslis, antivir, sophos, freeav, andasoftwa, skynet, messagelabs, abuse, fbi, orton, f-pro, aspersky, cafee, orman, itdefender, f-secur, avp, spam, ymantec, antivi, icrosoft



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek