Netsky (féreg)

NetSky
Teljes név (Kaspersky) Email-Worm.Win32.NetSky.a (első törzs)
Típusú tömeges levélféreg
Megjelenés éve 2004
Symantec leírás

A NetSky féreg  egy számítógépes vírus , amelyet 2004. február 16-án fedeztek fel az interneten .

Általános adatok

Más néven:

Egyéb módosítások: .ac, .af, .b, .c, .d, .e, .m, .o, .q, .r, .t, .x, .y

Mint minden e- mail féreg , a NetSky is az e- maileket használja a terjedéshez . Ennek a vírusnak több mint 20 törzsét jegyezték fel.

Ezt a vírust először 2004. február 16-án észlelték . Ez egy szabványos PE EXE fájl az UPX programmal csomagolva . A futtatható fájl mérete körülbelül 20 KB (kb. 40 KB kicsomagolva).

Viselkedés

Indításkor a féreg hamis hibaüzenetet jelenít meg: "A fájlt nem sikerült megnyitni!", bemásolja magát a Windows könyvtárába, és regisztrálja magát a rendszerleíró adatbázis automatikus indítókulcsában. Emellett számos másolatot hoz létre magáról olyan alkönyvtárakba, amelyek nevében a „Megosztás” vagy a „Megosztás” szó szerepel, és a következő neveket adja:

winxp_crack.exe dolly_buster.jpg.pif strippoker.exe photoshop 9 crack.exe mátrix.scr porno.scr angyalok.pif hardcore porn.jpg.exe office_crack.exe serial.txt.exe cool screensaver.scr eminem - nyald meg a puncimat.mp3.pif nero.7.exe virii.scr e-book.archive.doc.exe max payne 2.crack.exe hogyan kell feltörni.doc.exe programozási alapok.doc.exe e.book.doc.exe win longhorn.doc.exe szótár.doc.exe rfc compilation.doc.exe sex sex sex sex.doc.exe doom2.doc.pif

és több másolatot is másol magáról ZIP formátumban a listából származó nevekkel:

dokumentum üzenet doc beszélgetés üzenet hitelkártya részletek mellékletet nekem dolog kiküldetés szöveges fájl koncert információ jegyzet számla medence termék legjobb eladó ps zuhany rólad nincs pénz megtalált sztori leveleket weboldal barátja vicceket elhelyezkedés végső kiadás vacsora rangsor tárgy mail2 2. rész disco buli egyéb #n#o#t#n#e#t#s#k#y#-#s#k#y#n#e#t#!

A féreg adb, asp, dbx, doc, eml, htm, html, msg, gyakran, php, pl, rtf, sht, tbb, txt, uin, vbs és wab kiterjesztésű fájlokat keres, e-mail címeket talál bennük, és másolatot küld nekik. Saját SMTP - könyvtárát használja az e - mailek küldésére .

A fertőzött e-mailek tetszőleges kombinációkból jönnek létre: Tárgy:

Szia Szia Szia azonnal olvassa el valami neked Figyelem információ lopott hamisítvány ismeretlen

A levél szövege:

Minden rendben? valami rendben? mit jelent? rendben várok olvassa el a részleteket. itt a dokumentum. azonnal olvassa el! az én hősöm itt Igaz ez? ez a neved? ez a te fiókod? várom a választ! ez tőled van? rossz író vagy Megvan a jelszava! valami veled kapcsolatban! öld meg ennek a dokumentumnak az íróját! Remélem nem igaz! rossz a neved ezt a dokumentumot találtam rólad igen valóban? az rossz itt van találkozunk üdvözlettel valamit rólad? valami nem stimmel! információkat rólad rólam a fecsegéstől itt a sorozatok itt a bemutatkozás itt a csalások ez vicces ugye? válasz vedd lazán miért? Ez hibás egyéb pénzt keresel ugyanazt érzed megpróbálsz lopni Ön rossz valami nem stimmel valami hülyeség

A féreg eltávolítja a Mydoom és Bagle vírusokat a rendszerből . Ehhez az "Explorer" és a "Taskmon" kulcsokat eltávolítják a rendszerleíró adatbázisból a következő ágakban:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
és még : HKCR\CLSID\{ E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32

További információk

  1. A rosszindulatú program szerzője (saját bevallása szerint) a NetSky.K törzzsel fejezte be a fejlesztést. Ez a verzió nem végzett rosszindulatú műveleteket, csak a Mydoom és Bagle vírusokat távolította el . A forráskódban is találtak egy üzenetet, amely szerint a programkód hamarosan felkerül a hálózatra. Két nappal később felfedezték az L és M törzset, a szakértők úgy vélik, hogy "másolók" írták őket.
  2. A NetSky.X törzs angol, svéd, finn, lengyel, norvég, portugál, olasz, francia és német nyelven küldött üzeneteket. "Sok esetben kiderült, hogy az üzenet hibásan készült, ami arra utal, hogy a vírusíró nem kért segítséget azok fordításában, akiknek ezek a nyelvek anyanyelviek. Ehelyett valamilyen online fordítórendszert használt, mint pl. Babel Fish ” – mondja az F-Secure finn vírusirtó cég . Egyébként a NetSky.X hasonló a 23 testvéréhez.
  3. A féreg szolgáltatásmegtagadási ( DoS ) támadást hajt végre három német weboldalon: www.nibis.de, www.medinfo.ufl.edu és www.educa.ch.
  4. 2006 augusztusában a Netsky.P vírus vezette a TOP-10 rosszindulatú programok listáját, és a javítások elérhetősége ellenére több mint két évig megőrizte vezető szerepét. A Sophos elemzőcég közzétett jelentése szerint a Netsky.P a havi összes rosszindulatú programfertőzési jelentés 19,9%-át tette ki. A Netsky.P, amely továbbra is a legelterjedtebb e-mail féreg, 2004 legveszélyesebb vírusa lett.

Források

  1. A vírus leírása a Symantec adatbázisban  (eng.)
  2. A féreg leírása a Kaspersky Lab Viruslist.com webhelyén
  3. Leírás a CJSC "Dialogue-Science"-től
  4. Leírás a CJSC "Dialogue-Science"-től
  5. A Positive Technology hírei
  6. GAZETA.ru – A Netsky.X szerzője gyenge a nyelvek terén

Lásd még