Eksperci ostrzegają przed nowym groźnym wirusem

Insekt, określany jako NetSky.A, w błyskawicznym tempie zyskał 'młodszego brata' - odmianę o nazwie NetSky.B. Obie odmiany wirusa rozsyłają się pod postacią e-maila z losowo generowanym tytułem oraz załącznikiem, którego uruchomienie powoduje aktywację robaka.

'Obudzony' NetSky (występujący także pod nazwami W32/Netsky.b@MM [McAfee], W32/Netsky.B.worm [Panda], WORM_NETSKY.B [Trend Micro], Moodown.B [F-Secure], I-Worm.Moodown.b [Kaspersky] oraz Win32.HLLM.Foo.41984 [Dr.WEB]) w pierwszej kolejności próbuje wyłączyć zainstalowane na komputerze ofiary oprogramowanie antywirusowe, następnie rozsyła się pod wszystkie dostępne w książce adresowej kontakty i zapisuje swoje kopie na współdzielonych dyskach sieciowych. Przypuszcza się, iż jednym ze sposobów propagacji robaka mogą być także sieci P2P. Ze wstępnych analiz przeprowadzonych przez ekspertów wynika, iż NetSky nie posiada żadnej ukrytej procedury, która pozwoliłaby wykorzystać zainfekowane maszyny do przeprowadzenia jakiegokolwiek ataku na inne komputery.

Netsky jest robakiem internetowym, którego działanie polega na rozsyłaniu własnych kopii za pomocą poczty elektronicznej oraz umieszcza swoje kopie w folderach przypominających z nazwy foldery programów do wymiany plików w Internecie.

Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego o następujących parametrach:

Od: [jeden z poniższych]Ebay Auctions <responder@ebay.com> Yahoo Auctions <auctions@yahoo.com> Amazon automail <responder@amazon.com> MSN Auctions <auctions@msn.com> QXL Auctions <responder@qxl.com> EBay Auctions <responder@ebay.com>Temat: Auction successful!Treść:#----------------- message was sent by automail agent ------------------#Congratulations!You were successful in the auction.Auction ID :[4 losowe znaki]-[4 losowe znaki]-[4 losowe znaki]-AProduct ID :[4 losowe znaki]-[4 losowe znaki]-[4 losowe znaki]-PA detailed description about the product and the billare attached to this mail.Please contact the seller immediately.Thank you!Załącznik: [jeden z poniższych]prod_info_55761.rtf.exe.zip prod_info_65642.rtf.scr.zip prod_info_33543.rtf.scr.zip prod_info_56474.txt.exe.zip prod_info_33325.txt.exe.zip prod_info_77256.txt.scr.zip prod_info_34157.htm.exe.zip prod_info_87968.htm.scr.zip prod_info_43859.htm.scr.zip prod_info_56780.doc.exe.zip prod_info_43631.doc.exe.zip prod_info_47532.doc.scr.zip prod_info_54433.doc.exe.zip prod_info_42314.pif prod_info_54235.scr prod_info_49146.exe prod_info_33967.cmd prod_info_42818.pif prod_info_54739.scr prod_info_04650.bat prod_info_49541.exe prod_info_33462.cmd prod_info_42313.pif prod_info_54234.scr prod_info_04155.bat

Po uruchomieniu przez użytkownika pliku załącznika robak tworzy swoją kopię na dysku w pliku c:windowsservices.exe lub c:winntservices.exe oraz modyfikuje tak rejestr by jego kopia była automatycznie uruchamiana przy każdym starcie systemu Windows.

Robak usuwa z rejestru z klucza
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
wpisy o nazwach Taskmon, Explorer, KasperskyAV, System.

Robak tworzy na dysku także szereg swoich kopii w skompresowanych archiwach zip, w plikach o nazwach:

prod_info_55761.rtf.exe.zip prod_info_65642.rtf.scr.zip prod_info_33543.rtf.scr.zip prod_info_56474.txt.exe.zip prod_info_33325.txt.exe.zip prod_info_77256.txt.scr.zip prod_info_34157.htm.exe.zip prod_info_87968.htm.scr.zip prod_info_43859.htm.scr.zip prod_info_56780.doc.exe.zip prod_info_43631.doc.exe.zip prod_info_47532.doc.scr.zip prod_info_54433.doc.exe.zip

Następnie robak rozsyła własne kopie za pomocą poczty elektronicznej do wszystkich adresatów odnalezionych w plikach z rozszerzeniami: msg, oft, sht, dbx, tbb, adb, doc, wab, asp, uin, rtf, vbs, html, htm, pl, php, txt, eml, używając do tego własnego silnika SMTP.

Na koniec robak tworzy swoje kopie we wszystkich katalogach zawierających w swojej nazwie ciąg Share (zwykle będących udostępnionymi katalogami w programach do wymiany plików w Internecie) w plikach o następujących nazwach:

doom2.doc.pif sex sex sex sex.doc.exe rfc compilation.doc.exe dictionary.doc.exe win longhorn.doc.exe e.book.doc.exe programming basics.doc.exe how to hack.doc.exe max payne 2.crack.exe e-book.archive.doc.exe virii.scr nero.7.exe eminem - lick my pussy.mp3.pif cool screensaver.scr serial.txt.exe office_crack.exe hardcore porn.jpg.exe angels.pif porno.scr matrix.scr photoshop 9 crack.exe strippoker.exe dolly_buster.jpg.pif winxp_crack.exe

Poziom zagrożenia wywołany robakiem NetSky został podniesiony z kategorii 3 do 4 (skala pięciostopniowa).