Eksperci ostrzegają przed nowym groźnym wirusem

Insekt, określany jako NetSky.A, w błyskawicznym tempie zyskał 'młodszego brata' - odmianę o nazwie NetSky.B. Obie odmiany wirusa rozsyłają się pod postacią e-maila z losowo generowanym tytułem oraz załącznikiem, którego uruchomienie powoduje aktywację robaka.

'Obudzony' NetSky (występujący także pod nazwami W32/Netsky.b@MM [McAfee], W32/Netsky.B.worm [Panda], WORM_NETSKY.B [Trend Micro], Moodown.B [F-Secure], I-Worm.Moodown.b [Kaspersky] oraz Win32.HLLM.Foo.41984 [Dr.WEB]) w pierwszej kolejności próbuje wyłączyć zainstalowane na komputerze ofiary oprogramowanie antywirusowe, następnie rozsyła się pod wszystkie dostępne w książce adresowej kontakty i zapisuje swoje kopie na współdzielonych dyskach sieciowych. Przypuszcza się, iż jednym ze sposobów propagacji robaka mogą być także sieci P2P. Ze wstępnych analiz przeprowadzonych przez ekspertów wynika, iż NetSky nie posiada żadnej ukrytej procedury, która pozwoliłaby wykorzystać zainfekowane maszyny do przeprowadzenia jakiegokolwiek ataku na inne komputery.

Netsky jest robakiem internetowym, którego działanie polega na rozsyłaniu własnych kopii za pomocą poczty elektronicznej oraz umieszcza swoje kopie w folderach przypominających z nazwy foldery programów do wymiany plików w Internecie.

Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego o następujących parametrach:

Od: [jeden z poniższych]

 Ebay Auctions <responder@ebay.com> 
 Yahoo Auctions <auctions@yahoo.com> 
 Amazon automail <responder@amazon.com> 
 MSN Auctions <auctions@msn.com> 
 QXL Auctions <responder@qxl.com> 
 EBay Auctions <responder@ebay.com>

Temat: Auction successful!

Treść:

#----------------- message was sent by automail agent ------------------#


Congratulations!


You were successful in the auction.

Auction ID :[4 losowe znaki]-[4 losowe znaki]-[4 losowe znaki]-A
Product ID :[4 losowe znaki]-[4 losowe znaki]-[4 losowe znaki]-P

A detailed description about the product and the bill
are attached to this mail.
Please contact the seller immediately.

Thank you!

Załącznik: [jeden z poniższych]

 prod_info_55761.rtf.exe.zip 
 prod_info_65642.rtf.scr.zip 
 prod_info_33543.rtf.scr.zip 
 prod_info_56474.txt.exe.zip 
 prod_info_33325.txt.exe.zip 
 prod_info_77256.txt.scr.zip 
 prod_info_34157.htm.exe.zip 
 prod_info_87968.htm.scr.zip 
 prod_info_43859.htm.scr.zip 
 prod_info_56780.doc.exe.zip 
 prod_info_43631.doc.exe.zip 
 prod_info_47532.doc.scr.zip 
 prod_info_54433.doc.exe.zip 
 prod_info_42314.pif 
 prod_info_54235.scr 
 prod_info_49146.exe 
 prod_info_33967.cmd 
 prod_info_42818.pif 
 prod_info_54739.scr 
 prod_info_04650.bat 
 prod_info_49541.exe 
 prod_info_33462.cmd 
 prod_info_42313.pif 
 prod_info_54234.scr 
 prod_info_04155.bat

Po uruchomieniu przez użytkownika pliku załącznika robak tworzy swoją kopię na dysku w pliku c:windowsservices.exe lub c:winntservices.exe oraz modyfikuje tak rejestr by jego kopia była automatycznie uruchamiana przy każdym starcie systemu Windows.

Robak usuwa z rejestru z klucza
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
wpisy o nazwach Taskmon, Explorer, KasperskyAV, System.

Robak tworzy na dysku także szereg swoich kopii w skompresowanych archiwach zip, w plikach o nazwach:

 prod_info_55761.rtf.exe.zip 
 prod_info_65642.rtf.scr.zip 
 prod_info_33543.rtf.scr.zip 
 prod_info_56474.txt.exe.zip 
 prod_info_33325.txt.exe.zip 
 prod_info_77256.txt.scr.zip 
 prod_info_34157.htm.exe.zip 
 prod_info_87968.htm.scr.zip 
 prod_info_43859.htm.scr.zip 
 prod_info_56780.doc.exe.zip 
 prod_info_43631.doc.exe.zip 
 prod_info_47532.doc.scr.zip 
 prod_info_54433.doc.exe.zip

Następnie robak rozsyła własne kopie za pomocą poczty elektronicznej do wszystkich adresatów odnalezionych w plikach z rozszerzeniami: msg, oft, sht, dbx, tbb, adb, doc, wab, asp, uin, rtf, vbs, html, htm, pl, php, txt, eml, używając do tego własnego silnika SMTP.

Na koniec robak tworzy swoje kopie we wszystkich katalogach zawierających w swojej nazwie ciąg Share (zwykle będących udostępnionymi katalogami w programach do wymiany plików w Internecie) w plikach o następujących nazwach:

 doom2.doc.pif 
 sex sex sex sex.doc.exe 
 rfc compilation.doc.exe 
 dictionary.doc.exe 
 win longhorn.doc.exe 
 e.book.doc.exe 
 programming basics.doc.exe 
 how to hack.doc.exe 
 max payne 2.crack.exe 
 e-book.archive.doc.exe 
 virii.scr 
 nero.7.exe 
 eminem - lick my pussy.mp3.pif 
 cool screensaver.scr 
 serial.txt.exe 
 office_crack.exe 
 hardcore porn.jpg.exe 
 angels.pif 
 porno.scr 
 matrix.scr 
 photoshop 9 crack.exe 
 strippoker.exe 
 dolly_buster.jpg.pif 
 winxp_crack.exe

Poziom zagrożenia wywołany robakiem NetSky został podniesiony z kategorii 3 do 4 (skala pięciostopniowa).