Netsky (mask)

NetSky
Fullständigt namn (Kaspersky) Email-Worm.Win32.NetSky.a (första stam)
Sorts bulkpostmask
År av utseende 2004
Symantec Beskrivning

NetSky-masken  är ett datavirus som upptäcktes på Internet den 16 februari 2004 .

Allmän information

Också känd som:

Andra modifieringar: .ac, .af, .b, .c, .d, .e, .m, .o, .q, .r, .t, .x, .y

Liksom alla e -postmaskar använder NetSky e- post för att sprida . Mer än 20 stammar av detta virus har registrerats.

Detta virus upptäcktes första gången den 16 februari 2004 . Det är en standard PE EXE - fil paketerad med UPX - programmet . Storleken på den körbara filen är cirka 20 KB (ca 40 KB uppackad).

Beteende

Vid lansering visar masken ett falskt felmeddelande: "Filen kunde inte öppnas!", kopierar sig själv till Windows-katalogen och registrerar sig i systemregistrets autorun-nyckel. Den skapar också många kopior av sig själv i underkataloger som innehåller ordet "Dela" eller "Dela" i namnet och ger dem följande namn:

winxp_crack.exe dolly_buster.jpg.pif strippoker.exe photoshop 9 crack.exe matrix.scr porno.scr änglar.pif hardcore porn.jpg.exe office_crack.exe serial.txt.exe cool screensaver.scr eminem - slicka min fitta.mp3.pif nero.7.exe virii.scr e-book.archive.doc.exe max payne 2.crack.exe hur man hack.doc.exe programmering basics.doc.exe e.book.doc.exe win longhorn.doc.exe dictionary.doc.exe rfc compilation.doc.exe sex sex sex sex.doc.exe doom2.doc.pif

och kopierar även flera kopior av sig själv i ZIP-format med namn från listan:

dokumentera medd doc prata meddelande kreditkort detaljer anknytning mig grejer inlägg textfil konsert information notera räkningen slå samman produkt topsäljare ps dusch om dig inga pengar hittades berättelse mejl hemsida vän skämt plats slutlig släpp middag ranking objekt mail2 del 2 disko fest div #n#o#t#n#e#t#s#k#y#-#s#k#y#n#e#t#!

Masken letar efter filer med tilläggen adb, asp, dbx, doc, eml, htm, html, msg, oft, php, pl, rtf, sht, tbb, txt, uin, vbs och wab, hittar e-postadresser i dem och skickar dem kopior av dem. Den använder sitt eget SMTP - bibliotek för att skicka e - post .

Infekterade e-postmeddelanden bildas av godtyckliga kombinationer: Ämne:

Hej Hej Hallå läs den omedelbart något för dig varning information stulen falsk okänd

Brevets text:

Något OK? något ok? vad betyder det? ok jag väntar läs detaljerna. här är dokumentet. läs den direkt! min hjälte här är det sant? är det ditt namn? är det ditt konto? jag väntar på svar! är det från dig? du är en dålig författare Jag har ditt lösenord! någonting om dig! döda författaren till detta dokument! Jag hoppas att det inte är sant! ditt namn är fel Jag hittade det här dokumentet om dig Ja verkligen? det är dåligt här är det vi ses hälsningar grejer om dig? något går fel! information om dig om mig från snacket här, serierna här, inledningen här, fuskarna det är roligt gör du? svar ta det lugnt Varför? det är fel div du tjänar pengar du känner likadant du försöker stjäla du är dålig något går fel något är dumt

Masken tar bort Mydoom- och Bagle- virusen från systemet . För att göra detta tas "Utforskaren" och "Taskmon"-nycklarna bort från systemregistret i följande grenar:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
och även : HKCR\CLSID\{ E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32

Ytterligare information

  1. Författaren till det skadliga programmet avslutade sin utveckling med NetSky.K-stammen (enligt hans eget uttalande). Den här versionen utförde inga skadliga åtgärder, utan tog bara bort Mydoom- och Bagle-virusen . Dessutom hittades ett meddelande i källkoden som sa att programkoden snart skulle läggas ut på nätverket. Två dagar senare upptäcktes stammarna L och M. Experter tror att de är skrivna av "copycats".
  2. NetSky.X-stammen skickade meddelanden på engelska, svenska, finska, polska, norska, portugisiska, italienska, franska och tyska. "I många fall visade det sig att meddelandet var sammansatt med fel, vilket tyder på att virusskribenten inte bad om hjälp med att översätta de som dessa språk är inhemska för. Istället använde han något slags onlineöversättningssystem som t.ex. Babel Fish ," - säger det finska antivirusföretaget F-Secure . Annars liknar NetSky.X sina 23 bröder.
  3. Masken utför en DoS- attack (Denial of Service) på tre tyska webbplatser: www.nibis.de, www.medinfo.ufl.edu och www.educa.ch.
  4. I augusti 2006 toppade Netsky.P-viruset tabellen över TOP-10 skadliga program och behöll sitt ledarskap i mer än två år, trots tillgången på korrigeringar. Netsky.P stod för 19,9 % av alla rapporter om infektion med skadlig programvara för månaden, enligt en publicerad rapport från analysföretaget Sophos. Netsky.P, som fortfarande är den mest utbredda av e-postmaskarna, utsågs till det farligaste viruset 2004.

Källor

  1. Beskrivning av viruset i Symantecs databas  (eng.)
  2. Beskrivning av masken på Viruslist.com-webbplatsen för Kaspersky Lab
  3. Beskrivning från CJSC "Dialogue-Science"
  4. Beskrivning från CJSC "Dialogue-Science"
  5. Nyheter från Positive Technology
  6. GAZETA.ru - Författare Netsky.X är svag på språk

Se även