Közepes veszélyességű a legújabb Netsky féregvírus

A féreg a következő eleme a már jól ismert vírusháborúnak, amely a Netsky és a Bagle készítői között folyik. A legutóbbi Bagle variánshoz (Q) hasonlóan a Netsky.P egy Internet Explorer biztonsági rést használ ki. Britney Spears, Eminem és más híres emberek nevét használja az elküldött file-okban; az üzenet szövege pedig az egyes vírusvédelmi cégek által küldött jelentésekre emlékeztet, amelyekben értesítik a felhasználót, hogy nem találtak vírust.

Ez a rosszindulatú kód különböző technikákat használ fel a terjedéshez. E-mailen keresztül a saját SMTP rutinjának segítségével terjed, az Internet Explorer ismert biztonsági résének kihasználásával. A hálózati megosztásokon történő terjedéshez az emberi hiszékenység kihasználásának technikáját alkalmazza – az általa küldött e-mail különböző tárgysorokat, szöveget és különböző nevű csatolt állományokat tartalmaz. Az e-mail címeket bizonyos kiterjesztésű file-okból gyűjti. Hálózati megosztásokon is képes terjedni, mivel másolatait a fertőzött rendszer megosztott mappáiba helyezi.

Ez egyébként az első Netsky variáns, amely az Internet Explorer egy ismert hibáját használja ki – jelen esetben az érvénytelen MIME fejléc okozta sérülékeny pontot (MS01-020) – a rosszindulatú kód futtatásához az e-mail elolvasásakor. A nemrégiben megjelent és múlt héten a hírekben előkelő helyen szereplő Bagle.Q variáns is hasonló technikát használt.

Maga a kártevő UPX eljárással tömörített, és Windows 95, 98, ME, NT, 2000 és XP rendszereken fut. Amikor a Netsky P változata megfertőzött egy számítógépet, bizonyos bejegyzéseket hoz létre a rendszerleíró adatbázisban, így a Windows indításakor futtatja magát, illetve további rendszerleíró adatbázis bejegyzésekkel szolgáltatásként regisztrálja magát. A memória-rezidens féreg különböző kulcsokat töröl a rendszerleíró adatbázisból, ha azok léteznek.

David Kopp, a TrendLabs Europe vezetője szerint: „A vírusírók egyre bonyolultabbá teszik alkotásaikat – előfordulhat, hogy a folyamatban lévő ´háború´ miatt próbálják felülmúlni ellenfelüket. A szállítmányok és a hiszékenység kihasználása egyre magasabb fokon vannak jelen ezekben a kódokban. A számítógép-felhasználóknak különösen ébereknek kell maradniuk ebben a nyugtalan időszakban.”