Netsky (červ)

NetSky
Celé jméno (Kaspersky) Email-Worm.Win32.NetSky.a (první kmen)
Typ hromadný poštovní červ
Rok vzhledu 2004
Popis Symantec

Červ NetSky  je počítačový virus , který byl objeven na internetu 16. února 2004 .

Obecné údaje

Také známý jako:

Další modifikace: .ac, .af, .b, .c, .d, .e, .m, .o, .q, .r, .t, .x, .y

Jako každý e-mailový červ používá NetSky k šíření e-mail . Bylo zaznamenáno více než 20 kmenů tohoto viru.

Tento virus byl poprvé detekován 16. února 2004 . Jedná se o standardní soubor PE EXE přibalený k programu UPX . Velikost spustitelného souboru je cca 20 KB (cca 40 KB rozbaleno).

Chování

Po spuštění červ zobrazí falešnou chybovou zprávu: „Soubor nelze otevřít!“, zkopíruje se do adresáře Windows a zaregistruje se v klíči automatického spuštění systémového registru. Vytváří také mnoho vlastních kopií v podadresářích obsahujících v názvu slovo „Share“ nebo „Sharing“ a dává jim následující názvy:

winxp_crack.exe dolly_buster.jpg.pif strippoker.exe photoshop 9 crack.exe matrice.scr porno.scr andělé.pif hardcore porn.jpg.exe office_crack.exe serial.txt.exe skvělý spořič obrazovky.scr eminem - lízej mou pussy.mp3.pif nero.7.exe virii.scr e-book.archive.doc.exe max payne 2.crack.exe jak hack.doc.exe základy programování.doc.exe e.book.doc.exe vyhrajte longhorn.doc.exe slovník.doc.exe rfc compilation.doc.exe sex sex sex sex.doc.exe doom2.doc.pif

a také zkopíruje několik svých kopií ve formátu ZIP se jmény ze seznamu:

dokument msg doc mluvit zpráva kreditní karta podrobnosti příloha mě věci vysílání textový soubor koncert informace Poznámka účtovat bazén produkt nejlepší prodejce ps sprcha o tobě bez peněz nalezeno příběh maily webová stránka přítel vtipy umístění finále uvolnění večeře žebříčku objekt mail2 část 2 disko oslava různé #n#o#t#n#e#t#s#k#y#-#s#k#y#n#e#t#!

Červ hledá soubory s příponami adb, asp, dbx, doc, eml, htm, html, msg, oft, php, pl, rtf, sht, tbb, txt, uin, vbs a wab, najde v nich e-mailové adresy a jim posílá jejich kopie. K odesílání e-mailů používá vlastní knihovnu SMTP .

Infikované e-maily jsou tvořeny z libovolných kombinací: Předmět:

Ahoj Ahoj Ahoj hned si to přečtěte něco pro vás Varování informace ukradený falešný neznámý

Text dopisu:

Něco v pořádku? něco v pořádku? co to znamená? OK čekám přečtěte si podrobnosti. zde je dokument. hned si to přečtěte! můj hrdina tady Je to pravda? je to tvé jméno? to je tvůj účet? čekám na odpověď! to je od tebe? jsi špatný spisovatel Mám vaše heslo! něco o tobě! zabij pisatele tohoto dokumentu! Doufám, že to není pravda! vaše jméno je špatné našel jsem o vás tento dokument Ano, skutečně? to je špatné tady to je Uvidíme se Pozdravy věci o tobě? něco se nedaří! informace o vás o mně z klábosení tady ty seriály tady úvod tady ty cheaty To je legrační vy? odpověď Ber to s klidem proč? to je špatně různé vyděláváte peníze cítíte to stejně pokusíš se ukrást jsi špatný něco se nedaří něco je blbost

Červ odstraňuje viry Mydoom a Bagle ze systému . Za tímto účelem jsou klíče "Explorer" a "Taskmon" odstraněny ze systémového registru v následujících větvích:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
a také : HKCR\CLSID\{ E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32

Další informace

  1. Autor škodlivého programu dokončil jeho vývoj s kmenem NetSky.K (dle vlastního vyjádření). Tato verze neprováděla žádné škodlivé akce, pouze odstranila viry Mydoom a Bagle . Ve zdrojovém kódu byla také nalezena zpráva, která říkala, že programový kód bude brzy zveřejněn na síti. O dva dny později byly objeveny kmeny L a M. Odborníci se domnívají, že je napsali "kopírovači".
  2. Kmen NetSky.X posílal zprávy v angličtině, švédštině, finštině, polštině, norštině, portugalštině, italštině, francouzštině a němčině. "V mnoha případech se ukázalo, že zpráva byla složena s chybami, což naznačuje, že autor viru nepožádal o pomoc při překladu těch, pro které jsou tyto jazyky nativní. Místo toho použil nějaký online překladatelský systém, např. Babel Fish ,“ říká finská antivirová firma F-Secure . Jinak je NetSky.X podobný svým 23 bratrům.
  3. Červ provádí útok Denial of Service ( DoS ) na tři německé webové stránky: www.nibis.de, www.medinfo.ufl.edu a www.educa.ch.
  4. V srpnu 2006 se virus Netsky.P dostal na první místo v žebříčku TOP 10 škodlivých programů a své vedoucí postavení si udržel déle než dva roky, a to i přes dostupnost oprav. Podle zveřejněné zprávy analytické firmy Sophos tvořil Netsky.P 19,9 % všech zpráv o infekci malwarem za měsíc. Netsky.P, který zůstává nejrozšířenějším z e-mailových červů, byl vyhlášen nejnebezpečnějším virem roku 2004.

Zdroje

  1. Popis viru v databázi Symantec  (anglicky)
  2. Popis červa na webu Viruslist.com společnosti Kaspersky Lab
  3. Popis od CJSC "Dialogue-Science"
  4. Popis od CJSC "Dialogue-Science"
  5. Novinky z pozitivní technologie
  6. GAZETA.ru - Autor Netsky.X je slabý v jazycích

Viz také