Connect with us

technokrata

Szöveges állománynak álcázva terjed az új Netsky féreg

Dotkom

Szöveges állománynak álcázva terjed az új Netsky féreg

A Netsky legújabb változata az MSN Messenger álcájával igyekszik megbújni a rendszerben.

A fertőzött e-mail tulajdonságai

Tárgy: egy előre elkészített listából válogat, mely főként spanyol szavakat tartalmaz

Tartalom: egy előre elkészített listából válogat, mely főként spanyol szavakat tartalmaz

Csatolmány: a tárgy létrehozásakor használt listából választ nevet, kiterjesztése pedig dupla lesz (kivéve ZIP-formátumnál):
Első kiterjesztés: .doc, .htm, .rtf vagy .txt
Második kiterjesztés: .bat, .com, .pif, .scr vagy .zip

A féreg paraméterei

Felfedezésének ideje: 2004. október 13.
Utolsó frissítés ideje: 2004. október 13.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 31.232 byte (EXE), 31.362 byte (ZIP)
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: kicsi
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– felmásolja magát a Windows könyvtárba Msnmsger.exe néven
– megjeleníti a következő álhibaüzenetet: File Corrupted replace this!!
– létrehozza önmaga másolatait a Windows mappában neveken, ZIP kiterjesztéssel
– hozzáadja az MsnMsgr=[Windows elérési útvonala]/MsnMsgrs.exe -alev bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– e-mailcímek után gyűjt az alábbi kiterjesztéssel bíró file-okban: .SCS, .adb, .asp, .dbx, .doc, .eml, .htm, .html, .oft, .php, .pl, .rtf, .sht, .tbb, .txt, .uin, .vbs, .wab
– saját SMTP-motorja révén továbbítja magát az így fellelt címekre
– megkeresi a C-Z meghajtókon a share, sharing sztringet tartalmazó könyvtárakat, ahova bemásolja magát .scr kiterjesztéssel
– megkísérli letörölni a következő Registry kulcs bejegyzéseket, ha azok léteznek:
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/Taskmon
. HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/Taskmon
. HKEY_CLASSES_ROOT/CLSID/{E6FB5E20-DE35-11CF-9C87-00AA005127ED}/InProcServer32
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/Explorer
. HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/Explorer
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/KasperskyAv
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/system.
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices/system.



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek