Elnevezések:
A különböző vírusvédelmek az egyes vírusokat, férgeket eltérő névvel illethetik.
Előfordulhat, hogy egy vírusvédelmi rendszer egy adott károkozó program különböző példányait különböző neveken azonosítja,
de az is elképzelhető, hogy különböző vírusokat, férgeket illet azonos néven.
Az alábbi lista tájékoztató jelleggel mutatja a legelterjedtebb vírusvédelmek elnevezését, mely természetesen még az adott vírusvédelmi rendszer különböző
verziója esetén is más és más lehet.
A Win32/Netsky.P féreg
elnevezései az egyes vírusvédelmek szerint:
|
Avast
|
Win32:NetSky-BI
|
|
AVG
|
I-Worm/Netsky.DL
|
|
BitDefender
|
Win32.Netsky.R@mm
|
|
e-Trust
|
Win32/Netsky.R
|
|
F-PROT
|
W32/EmailWorm.ORN
|
|
F-Secure
|
Email-Worm.Win32.NetSky.s
|
|
Ikarus
|
Email-Worm.Win32.NetSky.S
|
|
Kaspersky
|
Email-Worm.Win32.NetSky.s
|
|
McAfee
|
W32/Netsky.r@MM(Virus)
|
|
Microsoft
|
Win32/Netsky.R@mm
|
|
NOD32 (ESET)
|
Win32/Netsky.P
|
|
Norton Antivirus
|
W32.Netsky.R
|
|
Panda
|
W32/Netsky.R.worm
|
|
Rising Antivirus
|
Worm.NetSky.s
|
|
Sophos
|
W32/Netsky-R
|
|
Trend Micro
|
WORM_NETSKY.R
|
|
VirusBuster
|
I-Worm.Netsky.S
|
Telepítés:
|
A rendszerleíró adatbázisba a(z)
[ HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run] " PandaAVEngine" =" C: \ WINDOWS\ PandaAVEngine. exe"
bejegyzést teszi, illetve módosítja (ha már létezik).
A Win32/Netsky.P féreg
a rendszerleíró adatbázisból az alábbi bejegyzéseket törli:
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Explorer
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\system
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msgsvr32
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\au.exe
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winupd.exe
-
teljes lista...
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Explorer
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\system
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msgsvr32
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\au.exe
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winupd.exe
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\direct.exe
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\jijbl
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Video
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\service
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\DELETE ME
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\d3dupdate.exe
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OLE
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\gouday.exe
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rate.exe
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Taskmon
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows Services Host
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysmon.exe
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\srate.exe
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ssate.exe
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft IE Execute shell
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Winsock2 driver
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ICM version
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yeahdude.exe
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft System Checkup
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Sentry
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Explorer
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\system
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msgsvr32
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\au.exe
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winupd.exe
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\direct.exe
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\jijbl
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Video
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\service
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\DELETE ME
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\d3dupdate.exe
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OLE
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\gouday.exe
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rate.exe
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Taskmon
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows Services Host
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysmon.exe
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\srate.exe
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ssate.exe
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft IE Execute shell
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Winsock2 driver
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ICM version
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yeahdude.exe
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft System Checkup
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Sentry
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Explorer
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\system
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\msgsvr32
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\au.exe
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\winupd.exe
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\direct.exe
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\jijbl
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Video
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\service
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\DELETE ME
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\d3dupdate.exe
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\OLE
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\gouday.exe
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\rate.exe
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Taskmon
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Windows Services Host
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\sysmon.exe
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\srate.exe
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\ssate.exe
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Microsoft IE Execute shell
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Winsock2 driver
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\ICM version
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\yeahdude.exe
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Microsoft System Checkup
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Sentry
- HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\PINF
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WksPatch
- HKEY_CLASSES_ROOT\CLSID\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
-
vissza...
|
A Win32/Netsky.P féreg
89845848594808308439858307378280987074387498739847
néven hoz létre mutexet.
E-mail üzenetek
A Win32/Netsky.P féreg
a terjedése érdekében ANSI formátumú e-mail üzeneteket generál és ebben küldi tovább saját kódját.
A Win32/Netsky.P féreg
az alábbi kiterjesztésű fájlokban keres e-mail címeket:
- eml
- txt
- php
- asp
- wab
- doc
- sht
- oft
- msg
- vbs
- rtf
- uin
- shtm
- cgi
- dhtm
- adb
- tbb
- dbx
- pl
- htm
- html
- jsp
- wsh
- xml
- cfg
- mbx
- mdx
- mht
- mmf
- nch
- ods
- stm
- xls
- ppt
-
vissza...
|
Az összeállított e-mail üzenetek felépítése az alábbi:
Feladó |
A levél feladóját a megtámadott számítógépről gyűjti össze, illetve korábban megtámadott számítógépekről gyűjtötte össze.
|
Címzett |
A féreg
az e-mail üzeneteket az összegyűjtött címekre küldi el.
Nem küld e-mailt azonban az alábbi szavakat tartalmazó címekre:
- @antivi
- @avp
- @bitdefender
- @fbi
- @f-pro
- @freeav
- @f-secur
- @kaspersky
- @mcafee
- @messagel
- @microsof
- @norman
- @norton
- @pandasof
- @skynet
- @sophos
- @spam
- @symantec
- @viruslis
- abuse@
- noreply@
- ntivir
- reports@
- spam@
-
vissza...
|
Tárgy |
A levélnek különböző tárgyai lehetnek. A lehetőségek az alábbiak:
A levél tárgyában szerepelhet a(z)
Re: Document
szó.
Tehet a levél Tárgy (Subject) mezőjébe véletlenszerűen generált szöveget.
|
Melléklet |
A féreg
által elküldött e-mail mellékletének nevét több részből szerkeszti össze.
A féreg
által elküldött e-mailben szereplő melléklet nevének első része
Document
.
A féreg
által elküldött e-mailben szereplő melléklet nevének második részét véletlenszerű számjegyekből állítja össze.
A féreg
által elküldött e-mailben
pif
a melléklet kiterjesztése.
|
|
Biztonsági rések, sérülékenységek
A Win32/Netsky.P féreg
a terjedése érdekében kihasználja a Microsoft MS01-020
jelű sérülékenységét.
Támadás az interneten
A Win32/Netsky.P féreg
az alábbi webcímek ellen indít támadást:
- http://www.emule.de
- http://www.cracks.am
- http://www.emule-project.net
- http://www.kazaa.com
- http://www.keygen.us
- http://www.emule.de
- http://www.cracks.am
- http://www.emule-project.net
- http://www.kazaa.com
- http://www.keygen.us
A webtámadást minden évben
április
12-től
április
16-ig hajtja végre.
A féreg
DoS támadást hajt végre, melyhez HTTP protokolt használ.
Egyebek
A Win32/Netsky.P féreg
programkódjában szereplő, de soha meg nem jelenő szöveg(ek):
Yes, true, you have understand it.
Bagle is a shitty guy, he opens a backdoor,
and he makes a lot of money. Netsky not, Netsky
is Skynet, a good software, Good guys behind it.
Believe me, or not.
teljes lista...
We will release thousands of our
Skynet versions, as long as bagle is there and the
people...
Thanks to Bruce Schneider.
And to all people in cz and russia.
Best regards - We are the only SkyNet.
