Netsky (vierme)

NetSky
Nume complet (Kaspersky) Email-Worm.Win32.NetSky.a (prima tulpină)
Tip de vierme de corespondență în vrac
Anul apariției 2004
Descriere Symantec

Viermele NetSky  este un virus de computer care a fost descoperit pe Internet la 16 februarie 2004 .

Date generale

De asemenea cunoscut ca si:

Alte modificări: .ac, .af, .b, .c, .d, .e, .m, .o, .q, .r, .t, .x, .y

Ca orice vierme de e-mail , NetSky folosește e- mailul pentru a se răspândi . Au fost înregistrate peste 20 de tulpini ale acestui virus.

Acest virus a fost detectat pentru prima dată pe 16 februarie 2004 . Este un fișier standard PE EXE împachetat cu programul UPX . Dimensiunea fișierului executabil este de aproximativ 20 KB (aproximativ 40 KB dezambalați).

Comportament

La lansare, viermele afișează un mesaj de eroare fals: „Fișierul nu a putut fi deschis!”, se copiază în directorul Windows și se înregistrează în cheia de rulare automată a registrului de sistem. De asemenea, creează multe copii ale lui însuși în subdirectoare care conțin cuvântul „Partajare” sau „Partajare” în nume și le dă următoarele nume:

winxp_crack.exe dolly_buster.jpg.pif strippoker.exe Photoshop 9 crack.exe matrice.scr porno.scr îngeri.pif hardcore porn.jpg.exe office_crack.exe serial.txt.exe cool screensaver.scr eminem - linge-mi pasarica.mp3.pif nero.7.exe virii.scr e-book.archive.doc.exe max payne 2.crack.exe cum să pirateze.doc.exe programe de bază.doc.exe e.book.doc.exe win longhorn.doc.exe dicționar.doc.exe rfc compilation.doc.exe sex sex sex sex.doc.exe doom2.doc.pif

și, de asemenea, copiază mai multe copii în format ZIP cu nume din listă:

document msg doc vorbi mesaj card de credit Detalii atașament pe mine chestie postare fisier text concert informație Notă factură bazin produs vânzător de top ps duș despre tine fară bani găsite poveste mailuri site-ul web prieten glume Locație final eliberare masa de seara clasament obiect mail2 partea 2 discotecă parte misc #n#o#t#n#e#t#s#k#y#-#s#k#y#n#e#t#!

Viermele caută fișiere cu extensiile adb, asp, dbx, doc, eml, htm, html, msg, oft, php, pl, rtf, sht, tbb, txt, uin, vbs și wab, găsește adrese de e-mail în ele și le trimite copii ale acestora. Folosește propria bibliotecă SMTP pentru a trimite e-mailuri .

E-mailurile infectate sunt formate din combinații arbitrare: Subiect:

Bună Bună Buna ziua citeste-l imediat ceva pentru tine avertizare informație furat fals necunoscut

Textul scrisorii:

Ceva bine? ceva ok? ce înseamnă? O.K Aștept citeste detaliile. aici este documentul. citeste-l imediat! eroul meu Aici e adevarat? Acesta este  numele tău? asta e contul tau? astept un raspuns! asta e de la tine? esti un scriitor prost Am parola ta! ceva despre tine! ucideți autorul acestui document! Sper sa nu fie adevarat! numele tău este greșit Am găsit acest document despre tine da într-adevăr? asta e rau iată-l te văd Salutari lucruri despre tine? ceva nu merge bine! informatii despre tine despre mine din vorbărie aici, serialele aici, introducerea aici, trucurile E amuzant tu? răspuns ia-o usor De ce? este gresit misc castigi bani simți la fel încerci să furi tu esti rau ceva nu merge bine ceva e prost

Viermele elimină virușii Mydoom și Bagle din sistem . Pentru a face acest lucru, cheile „Explorer” și „Taskmon” sunt eliminate din registrul de sistem în următoarele ramuri:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
și, de asemenea, : HKCR\CLSID\{ E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32

Informații suplimentare

  1. Autorul programului rău intenționat și-a încheiat dezvoltarea cu tulpina NetSky.K (conform propriei declarații). Această versiune nu a efectuat nicio acțiune rău intenționată, ci a eliminat doar virușii Mydoom și Bagle . De asemenea, în codul sursă a fost găsit un mesaj care spunea că codul programului va fi postat în curând în rețea. Două zile mai târziu, au fost descoperite tulpinile L și M. Experții cred că au fost scrise de „copycats”.
  2. Tulpina NetSky.X a trimis mesaje în engleză, suedeză, finlandeză, poloneză, norvegiană, portugheză, italiană, franceză și germană. „În multe cazuri, s-a dovedit că mesajul a fost compus cu erori, ceea ce indică faptul că scriitorul de virus nu a cerut ajutor în traducerea celor pentru care aceste limbi sunt native. În schimb, a folosit un fel de sistem de traducere online precum Babel Fish ,” – spune firma finlandeză de antivirus F-Secure . În rest, NetSky.X este similar cu cei 23 de frați ai săi.
  3. Viermele efectuează un atac de tip Denial of Service ( DoS ) pe trei site-uri web germane: www.nibis.de, www.medinfo.ufl.edu și www.educa.ch.
  4. În august 2006, virusul Netsky.P a ocupat primul loc în top-10 programe rău intenționate, menținându-și liderul timp de mai bine de doi ani, în ciuda disponibilității remedierilor. Netsky.P a reprezentat 19,9% din toate rapoartele de infecție cu malware pentru luna, potrivit unui raport publicat de firma de analiză Sophos. Netsky.P, care rămâne cel mai răspândit dintre viermii de e-mail, a fost numit cel mai periculos virus din 2004.

Surse

  1. Descrierea virusului din baza de date Symantec  (ing.)
  2. Descrierea viermelui pe site-ul web Viruslist.com al Kaspersky Lab
  3. Descriere de la CJSC „Dialog-Știință”
  4. Descriere de la CJSC „Dialog-Știință”
  5. Noutăți de la Positive Technology
  6. GAZETA.ru - Autorul Netsky.X este slab în limbi

Vezi și