Netsky (orm)

NetSky
Fulde navn (Kaspersky) Email-Worm.Win32.NetSky.a (første stamme)
Type bulk postorm
År for optræden 2004
Symantec beskrivelse

NetSky-ormen  er en computervirus, der blev opdaget på internettet den 16. februar 2004 .

Generelle data

Også kendt som:

Andre modifikationer: .ac, .af, .b, .c, .d, .e, .m, .o, .q, .r, .t, .x, .y

Som enhver e-mail-orm bruger NetSky e- mail til at sprede . Mere end 20 stammer af denne virus er blevet registreret.

Denne virus blev først opdaget den 16. februar 2004 . Det er en standard PE EXE -fil pakket med UPX -programmet . Størrelsen på den eksekverbare fil er omkring 20 KB (ca. 40 KB udpakket).

Adfærd

Ved lanceringen viser ormen en falsk fejlmeddelelse: "Filen kunne ikke åbnes!", kopierer sig selv til Windows-biblioteket og registrerer sig selv i systemregistrets autorun-nøgle. Det opretter også mange kopier af sig selv i undermapper, der indeholder ordet "Del" eller "Deling" i navnet og giver dem følgende navne:

winxp_crack.exe dolly_buster.jpg.pif strippoker.exe photoshop 9 crack.exe matrix.scr porno.scr engle.pif hardcore porn.jpg.exe office_crack.exe serial.txt.exe cool screensaver.scr eminem - slik på min fisse.mp3.pif nero.7.exe virii.scr e-book.archive.doc.exe max payne 2.crack.exe hvordan hack.doc.exe programmering basics.doc.exe e.book.doc.exe vind longhorn.doc.exe dictionary.doc.exe rfc compilation.doc.exe sex sex sex sex.doc.exe doom2.doc.pif

og kopierer også flere kopier af sig selv i ZIP-format med navne fra listen:

dokument besked dok tale besked kreditkort detaljer vedhæftet fil mig ting og sager udstationering tekstfil koncert Information Bemærk regning pool produkt bedstsælgende ps bruser om dig ingen penge fundet historie mails internet side ven vittigheder Beliggenhed endelig frigøre aftensmad placering objekt mail 2 del 2 diskotek parti div #n#o#t#n#e#t#s#k#y#-#s#k#y#n#e#t#!

Ormen leder efter filer med filtypenavne adb, asp, dbx, doc, eml, htm, html, msg, oft, php, pl, rtf, sht, tbb, txt, uin, vbs og wab, finder e-mailadresser i dem og sender dem kopier af dem. Det bruger sit eget SMTP- bibliotek til at sende e-mails .

Inficerede e-mails er dannet af vilkårlige kombinationer: Emne:

Hej Hej Hej læs den med det samme noget for dig advarsel Information stjålet falsk ukendt

Brevets tekst:

Noget ok? noget ok? hvad betyder det? Okay jeg venter læs detaljerne. her er dokumentet. læs det med det samme! min helt her er det sandt? er det dit navn? er det din konto? jeg venter på et svar! er det fra dig? du er en dårlig forfatter Jeg har din adgangskode! noget om dig! dræb forfatteren af ​​dette dokument! Jeg håber ikke det er sandt! dit navn er forkert Jeg fandt dette dokument om dig Ja virkelig? det er slemt her er det vi ses Vær hilset ting om dig? noget går galt! oplysninger om dig om mig fra snakken her føljetonerne her, introduktionen her, snyderne det er sjovt gør du? svar tag det roligt hvorfor? det er forkert div du tjener penge du føler det samme du forsøger at stjæle du er dårlig noget går galt noget er fjols

Ormen fjerner Mydoom og Bagle virus fra systemet . For at gøre dette fjernes tasterne "Explorer" og "Taskmon" fra systemregistret i følgende grene:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
og også : HKCR\CLSID\{ E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32

Yderligere information

  1. Forfatteren af ​​det ondsindede program afsluttede dets udvikling med NetSky.K-stammen (ifølge hans eget udsagn). Denne version udførte ingen ondsindede handlinger, men fjernede kun Mydoom- og Bagle-virusserne . Der blev også fundet en besked i kildekoden, som sagde, at programkoden snart ville blive lagt på netværket. To dage senere blev stammerne L og M opdaget. Eksperter mener, at de er skrevet af "copycats".
  2. NetSky.X-stammen sendte beskeder på engelsk, svensk, finsk, polsk, norsk, portugisisk, italiensk, fransk og tysk. "I mange tilfælde viste det sig, at beskeden var sammensat med fejl, hvilket indikerer, at virusskribenten ikke bad om hjælp til at oversætte dem, som disse sprog er indfødte for. I stedet brugte han en form for online oversættelsessystem som f.eks. Babel Fish ," - siger det finske antivirusfirma F-Secure . Ellers ligner NetSky.X sine 23 modparter.
  3. Ormen udfører et Denial of Service ( DoS ) angreb på tre tyske hjemmesider: www.nibis.de, www.medinfo.ufl.edu og www.educa.ch.
  4. I august 2006 toppede Netsky.P-virussen tabellen over TOP-10 ondsindede programmer og fastholdt sin lederskab i mere end to år, på trods af tilgængeligheden af ​​rettelser. Netsky.P tegnede sig for 19,9% af alle malware-infektionsrapporter for måneden, ifølge en offentliggjort rapport fra analysefirmaet Sophos. Netsky.P, som fortsat er den mest udbredte af e-mail-ormene, blev kåret til den farligste virus i 2004.

Kilder

  1. Beskrivelse af virussen i Symantec-databasen  (eng.)
  2. Beskrivelse af ormen på Viruslist.com-webstedet for Kaspersky Lab
  3. Beskrivelse fra CJSC "Dialogue-Science"
  4. Beskrivelse fra CJSC "Dialogue-Science"
  5. Nyheder fra Positive Technology
  6. GAZETA.ru - Forfatter Netsky.X er svag i sprog

Se også