W32/Netsky.s@MM: a legújabb változat is közepesen veszélyes
2004. április 6.
Az AVERT, a Network Associates vírusszakértői csoportja magasabb
veszélyességi kategóriába sorolta át a W32/Netsky.s@MM férget. A
közlemény szerint a Netsky.s "közepes" veszélyt jelent az otthoni és a
vállalati felhasználók számára egyaránt. Az új besorolást az
előfordulás gyakoriságának növekedése tette szükségessé.
A vírus főbb jellemzői:saját SMTP motor a levelezéshez
a fertőzött gép email-címeinek begyüjtése
hamis feladó feltüntetése
hátsó-ajtó komponens (TCP 6789)
egy adott dátumon DoS túlterheléses támadás indítása
A vírus az alábbi néven másolja magát a Windows rendszerkönyvtárba:
EASYAV.EXE (18,432 bájt)
Ugyanott egy base-64 kódolású másolatot helyez el magáról:
%WinDir%\UINMZERTINMDS.OPM
Az indításkor az alábbi kulcs segítségével tölti be magát:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Run "EasyAV" = %WinDir%\EASYAV.EXE,
ahol a %WinDir% a Windows könyvtár.
A saját SMTP levelező motor a helyi rendszerről gyűjti össze a címeket, a következő típusú fájlokból:
adb, .asp, .cfg, .cgi, .dbx, .dhtm, .doc, .eml, .htm, .html, .jsp, .mbx, .mdx, .mht, .mmf, .msg, .nch, .ods, .oft, .php, .pl, .ppt, .rtf, .sht, .shtm, .stm, .tbb, .txt, .uin, .vbs, .wsh, .wab, .xls és .xml
A fertőzött email további ismertetőjegyei:
Tárgy: az alábbi listából:
Hello!
Hi!
Re: Important
Important
Re: My details
My details
Re: Your information
Your information
Re: Your details
Your details
Re: Your document
Your document
Re: Request
Request
Re: Thanks you!
Thank you!
Re: Approved
Approved
Re: Hello
Re: Hi
Hello
Hi
Feladó: (Hamis cím)
Szöveg: változó
Csatolt állomány:
account
postcard
sample
developement
concept
story
report
icq_number
phone_number
personal_message
photo_document
order
important_document
diggest
final_version
release
answer
bill
notice
requested_document
description
summary
picture_document
movie_document
approved_document
old_document
document
letter
homepage
detailed_document
powerpoint_document
excel_document
word_document
info
information
text
new_document
textfile
user_list
improved_file
secound_document
file
number_list
contact_list
message
note
improved_document
details
instructions
presentation_document
abuse_list
archive
corrected_document
list
approved_file
A W32/Netsky.s@MM vírust április 4-én fedezték fel, és a kiadott 4348-as DAT fájl már tartalmazza a vírus felismeréséhez szükséges információt.
Kapcsolódó cikkek
- Az adathalászat növekedést, a botok előfordulása csökkenést mutat
- 2005 első negyedév: adathalászat, mobilvírusok, és trójaiak
- McAfee: Új, központilag irányított és ellenőrzött védelem spam-ek és vírusok ellen
- Új McAfee WebShield Appliance tartalommenedzsment megoldás
- Cisco NAC támogatás a Network Associates vírusirtó termékeiben
- A McAfee Security új behatolás-megelőző megoldása
- Network Associates-Check Point: integrált biztonsági megoldás kisvállalkozások számára
- Számítógép-vírusok - 22 milliárd dolláros kár a nyugat-európai kiscégeknél
- McAfee AVERT vírus körkép és a legfrissebb TOP 10 lista
- W32/Netsky.p@MM: a legújabb változat is közepesen veszélyes