Dotkom
Szöveges állománynak álcázva terjed az új Netsky féreg
A Netsky legújabb változata az MSN Messenger álcájával igyekszik megbújni a rendszerben.
A fertőzött e-mail tulajdonságai
Tárgy: egy előre elkészített listából válogat, mely főként spanyol szavakat tartalmaz
Tartalom: egy előre elkészített listából válogat, mely főként spanyol szavakat tartalmaz
Csatolmány: a tárgy létrehozásakor használt listából választ nevet, kiterjesztése pedig dupla lesz (kivéve ZIP-formátumnál):
Első kiterjesztés: .doc, .htm, .rtf vagy .txt
Második kiterjesztés: .bat, .com, .pif, .scr vagy .zip
A féreg paraméterei
Felfedezésének ideje: 2004. október 13.
Utolsó frissítés ideje: 2004. október 13.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 31.232 byte (EXE), 31.362 byte (ZIP)
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: kicsi
Eltávolítása: közepesen nehéz
Aktiválódása esetén lezajló események
– felmásolja magát a Windows könyvtárba Msnmsger.exe néven
– megjeleníti a következő álhibaüzenetet: File Corrupted replace this!!
– létrehozza önmaga másolatait a Windows mappában neveken, ZIP kiterjesztéssel
– hozzáadja az MsnMsgr=[Windows elérési útvonala]/MsnMsgrs.exe -alev bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– e-mailcímek után gyűjt az alábbi kiterjesztéssel bíró file-okban: .SCS, .adb, .asp, .dbx, .doc, .eml, .htm, .html, .oft, .php, .pl, .rtf, .sht, .tbb, .txt, .uin, .vbs, .wab
– saját SMTP-motorja révén továbbítja magát az így fellelt címekre
– megkeresi a C-Z meghajtókon a share, sharing sztringet tartalmazó könyvtárakat, ahova bemásolja magát .scr kiterjesztéssel
– megkísérli letörölni a következő Registry kulcs bejegyzéseket, ha azok léteznek:
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/Taskmon
. HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/Taskmon
. HKEY_CLASSES_ROOT/CLSID/{E6FB5E20-DE35-11CF-9C87-00AA005127ED}/InProcServer32
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/Explorer
. HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/Explorer
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/KasperskyAv
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/system.
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices/system.
[fbcomments url="https://www.technokrata.hu/egazdasag/dotkom/2004/10/14/szoveges-allomanynak-alcazva-terjed-az-uj-netsky-fereg/" width="800" count="off" num="3" countmsg=""]
