W32/Netsky.ab@MM

Adatlap

Felfedezés időpontja: 2004. 04. 28.

Eredet: Ismeretlen

Hossz: 17920 bájt

Típus: Vírus

Altípus: e-mail  programféreg

Szükséges adatbázis: 4354

Szükséges keresőmotor: 4.2.40

Előfordulás valószínűsége

Vállalati környezet: Közepes

Otthoni felhasználók: Közepes

Tulajdonságok

A vírus a W32/Netsky új variánsa. Főbb jellemzői:

• Tömeges levelezéssel terjed
• PIF kiterjesztésű állományban érkezik
• Saját SMTP motor segítségével küldi példányait a megtámadott gépről gyűjtött címekre
• a feladó címét hamisítja

Terjedés email útján

A programféreg levelező komponense az alábbi állományokból gyűjti a címeket:

• .adb
• .asp
• .cfg
• .cgi
• .dbx
• .dhtm
• .doc
• .eml
• .htm
• .html
• .jsp
• .mbx
• .mdx
• .mht
• .mmf
• .msg
• .nch
• .oft
• .php
• .ods
• .pl
• .ppt
• .rtf
• .sht
• .shtm
• .stm
• .tbb
• .txt
• .uin
• .vbs
• .wab
• .wsh
• .xls
• .xml

Az üzenetek felépítése:

Feladó: <hamisított>
Tárgy: az alábbiak valamelyike

• Correction 
• Hurts  
• Privacy
• Password   
• Wow
• Criminal   
• Pictures   
• Text   
• Money  
• Stolen 
• Found  
• Numbers
• Funny  
• Only
• love? 
• More
• samples   
• Picture
• Letter 
• Question   
• Illegal

Üzenettörzs: az alábbiak egyike

• Please use the font arial! 
• How can I help you?
• Still? 
• I've your password.
• Take it easy!  
• Why do you show your body? 
• Hey, are you criminal? 
• Your pictures are good!
• The text you sent to me is not so good!
• True love letter?  
• Do you have no money?  
• Do you have asked me?  
• I've found your creditcard.
• Check the data!
• Are your numbers correct?  
• You have no chance...  
• Wow! Why are you so shy?   
• Do you have more samples?  
• Do you have more photos about you? 
• Do you have written the letter?
• Does it hurt you?  
• Please do not sent me your illegal stuff again!!!  

Csatolt állomány:

• corrected_doc.pif  
• hurts.pif  
• document1.pif  
• passwords02.pif
• image034.pif   
• myabuselist.pif
• your_picture01.pif 
• your_text01.pif
• your_letter.pif
• your_bill.pif  
• my_stolen_document.pif 
• visa_data.pif  
• pin_tel.pif
• your_text.pif  
• loveletter02.pif   
• all_pictures.pif   
• your_letter_03.pif 
• your_picture.pif   
• abuses.pif 

A vírus CSRSS.EXE néven a Windows könyvtárba kerül (pl. c:\windows vagy c:\winnt)

Az alábbi Registry-kulcs létrehozásával a vírus minden rendszerindításkor a memóriába töltődik:

• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "BagleAV" =  %WinDir%\CSRSS.EXE

Tünetek

DNS kérések az alábbi, a kódban rögzített IP címekre:

• 212.44.160.8   
• 195.185.185.195
• 151.189.13.35  
• 213.191.74.19  
• 193.189.244.205
• 145.253.2.171  
• 193.141.40.42  
• 193.193.144.12 
• 217.5.97.137   
• 195.20.224.234 
• 194.25.2.130   
• 194.25.2.129   
• 212.185.252.136
• 212.185.253.70 
• 212.185.252.73 
• 62.155.255.16  
• 194.25.2.134   
• 194.25.2.133   
• 194.25.2.132   
• 194.25.2.131   
• 193.193.158.10 
• 212.7.128.165  
• 212.7.128.162  

A fentebb leírt állományok és Registry kulcsok

Eltávolítási utasítások

A programféreg detektálására és tisztítására minimálisan a 4354-es adatbázisok szükségesek. Egyedi eltávolító program (Stinger) letöltése >>>