Wirus Netsky.O
Firma Kaspersky Lab poinformowała o pojawieniu się kolejnej wersji znanego wirusa - NetSky.O. Przenosi się on za pomocą poczty elektronicznej. Jest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanych wiadomości e-mail. Ma postać pliku PE EXE o rozmiarze około 16 KB (kompresja UPX, rozmiar po rozpakowaniu - około 140 KB). Szkodnik napisany został w Microsoft Visual C++.
Robak tworzy następujące pliki:
\zip1.tmp
\zip2.tmp
\zip3.tmp
\zip4.tmp
\zip5.tmp
\zip6.tmp
zawierające kod szkodnika w formacie MIME oraz plik zipped.tmp, w którym zapisana jest kopia robaka w formacie ZIP.
Robak usuwa z rejestru systemowego następujące klucze:
[HKLM(HKCU)\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
system.
msgsvr32
au.exe
service
DELETE ME
d3dupdate.exe
OLE
Sentry
gouday.exe
rate.exe
Taskmon
Windows Services Host
sysmon.exe
srate.exe
ssate.exe
Instalacja
Po uruchomieniu robak kopiuje się do foldera \Windows z nazwą Avprotect9x.exe i tworzy w rejestrze systemowym klucz auto-run:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
NetDy = \VisualGuard.exe
Zainfekowane wiadomości e-mail maja tematy:
Re:
Re: Re:
your
my
approved
important
here
hi
hello
thanks!
approved
corrected
patched
improved
important
read it immediately
i tekst po angielsku. Nazwa załącznika wybierana jest ód poniższych możliwości:
document
file
details
information
letter
product
website
application
screensaver
bill
word document
excel document
data
message
text
document_all
W kodzie robaka zapisane są następujące teksty:
NetDy: Thanks to the S*k*y*N*e*t alias *N*e*t*S*k*y* crew for the sourcecode.
NetDy: We have rewritten *N*e*t*S*k*y.
NetDy: Thats a good tactic to detroy the bagle and mydoom worms.
NetDy: Our group will continue the war.
NetDy: Malware writers ',27h,'End',27h,' comes true.
NetDy: Our Social Engineering is the best *lol* (You have no virus symantec says!).
NetDy: ----------------------------------------------------------------------------
NetDy: We are greeting all russia people!
USA SUCKS!!! AFGHAN SUCKS 2!!! BURN, SADDAM! BURN IN HELL! AND YOU, OSAMA BIN LADEN,
BURN IN THE DEVILS FIRE 2!!! SHAME ON YOU MR. BUSH!!!
Robak co sekundę otwiera różne porty. Przezto jest łatwy do wykrycia.