Dotkom
DoS-támadást indít a Netsky Z változata
Elfogytak az angol ABC betűi az egyes Netsky variánsok jelölésére, már annyi különböző változat érkezett a féregből. Ez azonban valószínűleg nem fogja visszatartani a féreg íróit az újabb kártevők létrehozásától.
A fertőzött e-mail jellemzői
Feladó: hamis e-mailcím
Tárgy: a következők egyike:
. Hello
. Hi
. Important
. Important bill!
. Important data!
. Important details!
. Important document!
. Important informations!
. Important notice!
. Important textfile!
. Important!
. Information
Csatolmány: vagy egy ZIP kiterjesztésű vagy egy .txt.exe kiterjesztésű file-t tartalmazhat az e-mail:
. Bill.zip
. Data.zip
. Details.zip
. Important.zip
. Informations.zip
. Notice.zip
. Part-2.zip
. Textfile.zip
. Bill.txt (sok szóköz) .exe
. Data.txt (sok szóköz) .exe
. Details.txt (sok szóköz) .exe
. Important.txt (sok szóköz) .exe
. Informations.txt (sok szóköz) .exe
. Notice.txt (sok szóköz) .exe
. Part-2.txt (sok szóköz) .exe
. Textfile.txt (sok szóköz) .exe
A féreg paraméterei
Felfedezésének ideje: 2004. április 21.
Utolsó frissítés ideje: 2004. április 22.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Macintosh, UNIX, Linux, OS/2
Mérete: 22.016 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: kicsi
Eltávolítása: közepesen nehéz
Aktiválódása esetén lezajló események
– bemásolja magát a Windows könyvtárba Jammer2nd.exe néven
– ugyanitt létrehoz két ZIP állományt (PK_ZIP_ALG.LOG, PK_ZIP[egy egész szám].LOG), melyek a férget tartalmazzák
– hozzáadja a Jammer2nd=[Windows elérési útvonala]/JAMMER2ND.EXE bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– létrehozza a (S)(k)(y)(N)(e)(t) ˝nevű˝ mutexet, megakadályozandó a memóriába való többszöri betöltődését
– a 665-ös TCP porton hallgatózik, s amennyiben a támadó EXE file-t küld, lefuttatja
– amennyiben a rendszerdátum 2004. május 2-a és 5-e közé esik, a féreg DoS-támadást kísérel meg a következő weboldalakkal szemben:
. www.nibis.de
. www.medinfo.ufl.edu
. www.educa.ch
– felméri a rendszerben található merevlemez(ek)en azokat az állományokat, melyekben e-mailcímekre bukkanhat; ezután ki is gyűjti ezeket az eléréseket
– saját SMTP-motorja révén továbbítja magát a fent említett módon összegyűjtött címekre és a jamainlbbbsdef@yahoo.com e-mailcímre
– önmaga elküldésére az alapértelmezett DNS szervert használja fel, hogy megszerezze az e-mailszerver IP-címét; amennyiben ez nem sikerülne, a benne előre eltárolt címek valamelyikét próbálja ki
[fbcomments url="https://www.technokrata.hu/egazdasag/dotkom/2004/04/22/dos-tamadast-indit-a-netsky-z-valtozata/" width="800" count="off" num="3" countmsg=""]
