Gość: Mosze
IP: 5.3.1R3D* / *.red.bezeqint.net
20.02.04, 13:53
Robak internetowy, którego działanie polega na rozprzestrzenianiu się za
pomocą poczty elektronicznej oraz poprzez programy do wymiany plików w
Internecie.
Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu
elektronicznego o następujących parametrach:
Od: [fałszywy adres]
Temat: [losowy]
Treść: [losowo stworzona z poniższych słów]
something is fool
something is going wrong
you are bad
you try to steal
you feel the same
you earn money
thats wrong
why?
take it easy
reply
do you?
that's funny
here, the cheats
here, the introduction
here, the serials
from the chatter
about me
information about you
something is going wrong!
stuff about you?
greetings
see you
here it is
that is bad
yes, really?
i found this document about you
your name is wrong
i hope it is not true!
kill the writer of this document!
something about you!
I have your password!
you are a bad writer
is that from you?
i wait for a reply!
is that your account?
is that your name?
is that true?
here
my hero
read it immediately!
here is the document.
read the details.
i'm waiting
what does it mean?
anything ok?
Załącznik: [losowa nazwa jedna z poniższych].[com, exe, pif, scr, zip]
aboutyou
attachment
bill
concert
creditcard
details
dinner
disco
doc
document
final
found
friend
information
jokes
location
mail2
mails
me
message
misc
msg
note
object
part2
party
posting
product
ps
ranking
release
shower
stuff
swimmingpool
talk
textfile
topseller
website
Po uruchomieniu przez użytkownika pliku załącznika robak tworzy na dysku
swoją kopię w pliku o nazwie c:\windows\services.exe lub
c:\winnt\services.exe oraz modyfikuje tak rejestr by jego kopia była
automatycznie uruchamiana przy każdym starcie systemu Windows.
Robak usuwa z rejestru z klucza
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
wpisy o nazwach Taskmon, Explorer, KasperskyAV, System.
Robak tworzy na dysku także szereg swoich kopii w skompresowanych archiwach
zip, w plikach o nazwach:
aboutyou.zip
attachment.zip
bill.zip
concert.zip
creditcard.zip
details.zip
dinner.zip
disco.zip
doc.zip
document.zip
final.zip
found.zip
friend.zip
information.zip
jokes.zip
location.zip
mail2.zip
mails.zip
me.zip
message.zip
misc.zip
msg.zip
note.zip
object.zip
part2.zip
party.zip
posting.zip
product.zip
ps.zip
ranking.zip
release.zip
shower.zip
stuff.zip
swimmingpool.zip
talk.zip
textfile.zip
topseller.zip
website.zip
Następnie robak rozsyła własne kopie za pomocą poczty elektronicznej do
wszystkich adresatów odnalezionych w plikach z rozszerzeniami: msg, oft, sht,
dbx, tbb, adb, doc, wab, asp, uin, rtf, vbs, html, htm, pl, php, txt, eml,
używając do tego własnego silnika SMTP.
Na koniec robak tworzy swoje kopie we wszystkich katalogach zawierających w
swojej nazwie ciąg Share (zwykle będących udostępnionymi katalogami w
programach do wymiany plików w Internecie) w plikach o następujących nazwach:
doom2.doc.pif
sex sex sex sex.doc.exe
rfc compilation.doc.exe
dictionary.doc.exe
win longhorn.doc.exe
e.book.doc.exe
programming basics.doc.exe
how to hack.doc.exe
max payne 2.crack.exe
e-book.archive.doc.exe
virii.scr
nero.7.exe
eminem - lick my pussy.mp3.pif
cool screensaver.scr
serial.txt.exe
office_crack.exe
hardcore porn.jpg.exe
angels.pif
porno.scr
matrix.scr
photoshop 9 crack.exe
strippoker.exe
dolly_buster.jpg.pif
winxp_crack.exe
Usuwanie robaka:
Aby usunąć robaka należy pobrać i uruchomić bezpłatny program MksClean.exe,
dostępny pod adresem:
www.pcworld.pl/ftp/pc/programy/2838/MKS.Clean.W32.NetSky.A..html
Netsky.B jest wykrywany oprogramowaniem mks_vir z bazą wirusów z dnia 2004-02-
18 i nowszymi.
