Közepesen veszélyes Netsky-változat

Az AVERT, a McAfee vírusszakértői csoportja már felfedezése napján „közepesen veszélyes” kategóriába emelte a W32/Netsky.ag@MM férget. A közlemény szerint az új variáns egyaránt veszélyt jelent az otthoni és a vállalati felhasználók számára.

A W32/Netsky.ag egyik szembetűnő sajátsága, hogy elindulásakor megjelenít egy üzenetet "File corrupted replace this!" („Az adatállomány megrongálódott, cseréld ki!”) szöveggel. Ha azonban ez az üzenet megjelenik monitorunkon, már megfertőződött a gépünk, mivel rákattintottunk a virusküldemény csatolmányára és ezzel beindítottuk azt.

Az automatikus vezérléshez jutáshoz a közel 32 KB méretű féregprogram bemásolja magát MsnMsgrs.exe néven a Windows könyvtárába, és egy erre mutató változót hoz létre a

Hirdetés

KEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

kulcsa alatt:

"MsnMsgr" = %WinDir%\MsnMsgrs.exe -alev

Ezzel végezve számos további másolatot is készít saját kódjáról a Windows könyvtárában, mindegyiket ZIP kiterjesztéssel.

A W32/Netsky.ag@MM féreg is tartalmaz egy saját SMTP levelező motort, amellyel – hamis feladót feltüntetve – továbbküldi magát. Ehhez a címeket az áldozatul esett számítógép adb, .asp, .dbx, .doc, .eml, . htm, .html, .oft, .php, .pl, .rtf, sht, .tbb, .txt, .uin, és .vbs kiterjesztésű fájljaiból gyűjti be. Az így megszerzett e-mail címeket nem csupán a címzéshez, de a feladó meghamisításához is felhasználja. A féreg által elküldött fertőzött üzenetek véletlenszerűen választott, portugál nyelvű szöveget tartalmazó tárgymezővel mennek ki. E szövegek a féregkódban megtalálhatók. A levéltörzs a levél tárgyához hasonlóan szintén egysoros, portugál nyelvű, véletlenszerűen kiválasztott szövegekből áll, amelyeket a féreg saját kódjából emel át. A fertőzött levelek .pif, .com, .scr, .bat, vagy .zip kiterjesztésű csatolmányokat hordoznak, melyek fájlneve is egy, a féregkódban megtalálható listából származik.

A féreg a terjedéshez az elektronikus levelezésen túl a helyi hálózatokon, és peer-to-peer rendszereken keresztül is terjed. A féreg bemásolja magát minden olyan helyi könyvtárba, melynek nevében szerepel a share vagy sharing szövegrész, a hálózati megosztásokba és P2P megosztott folderekbe. Amikor ezt végzi, akkor .scr, .pif, és .exe kiterjesztéssel másolja át a féregkódot. Az ehhez alkalmazott fájlnevek szintén a féregkódból származnak. Megnyitott megosztásokkal nem foglalkozik.

A féreg eltávolítása manuálisan is megoldható. A számítógépet ehhez csökkentett üzemmódban kell újraindítani, majd törölni kell a Windows könyvtárából a fent említett MsnMsgrs.exe fájlt. A munka ezzel azonban még nem ért véget, mivel a registryben is el kell végezni a féregprogramot indító változó törlését a

KLM\Software\Microsoft\Windows\CurrentVersion \Run

kulcs alatt (ez az MsnMsgr változó törlését jelenti). A rendszert ezután normál üzemmódban indítjuk, majd felkutatjuk és töröljük a féregprogram összes másolatát, amelyeket a Windows könyvtárában, valamint a megosztott helyi, hálózati és P2P folderekben rejtett el. A védelmi frissítések is letölthetők már a megfelelő oldalakról. 

Hirdetés

  • Kapcsolódó cégek:

Azóta történt

Előzmények