Netsky.C

Létrehozva: 2007-11-09, 16:56:04

Utolsó frissítés: 2009-11-09, 13:43:59

Platform: Win32

Típus: féreg

Méret: 25352

Dátum: 2004-02-24

Tömörítő: Petite

Nyelv: Microsoft Visual C++

Veszélyeztetett operációs rendszer(ek): Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows Server 2003, Windows XP

Nem veszélyeztetett operációs rendszer(ek): Windows 3.xx, DOS, Linux, Unix, Solaris, MacOS, Mac OS X, OS2

Elnevezések:

A különböző vírusvédelmek az egyes vírusokat, férgeket eltérő névvel illethetik. Előfordulhat, hogy egy vírusvédelmi rendszer egy adott károkozó program különböző példányait különböző neveken azonosítja, de az is elképzelhető, hogy különböző vírusokat, férgeket illet azonos néven. Az alábbi lista tájékoztató jelleggel mutatja a legelterjedtebb vírusvédelmek elnevezését, mely természetesen még az adott vírusvédelmi rendszer különböző verziója esetén is más és más lehet.

A Win32/Netsky.C féreg elnevezései az egyes vírusvédelmek szerint:

vírusvédelem	elnevezés
Avast	Win32:NetSky-BV Win32:NetSky-BY
AVG	I-Worm/Netsky.C
BitDefender	Win32.Netsky.C@mm
e-Trust	Win32/Netsky.C
F-PROT	W32/Netsky.C@mm
F-Secure	Email-Worm.Win32.NetSky.c
Ikarus	Email-Worm.Win32.NetSky.C
Kaspersky	Email-Worm.Win32.NetSky.c
McAfee	W32/Netsky.c@MM(Virus)
Microsoft	Win32/Netsky.C@mm

vírusvédelem	elnevezés
NOD32 (ESET)	Win32/Netsky.C
Norton Antivirus	W32.Netsky.C@mm
Panda	W32/Netsky.C.worm
Rising Antivirus	Worm.NetSky.c Worm.NetSky.ca
Sophos	W32/Netsky-C
Trend Micro	WORM_NETSKY.AR WORM_NETSKY.DAM
VirusBuster	I-Worm.Netsky.C I-Worm.Netsky.C1

szervezet	elnevezés
Wildlist	W32/Netsky.C-mm

Telepítés:

Az interneten vagy lokális hálózaton terjedő kártevők elsődleges célja, hogy egy másik számítógépet fertőzzenek meg. A megtámadott számítógép működésébe, annak operációs rendszerébe általában úgy épülnek be, hogy az egy esetleges újraindítást (boot-olást) követően is aktivízálja a kártevő kódját. Ezt általában úgy érik el, hogy a kártevő kódját tartalmazó fájl(oka)t hoznak létre vagy meglévő fájl(oka)t módosítanak, illetve beállítanak néhány bejegyzést a rendszerleíró adatbázisban, ami arra utasítja az induló operációs rendszert, hogy a frissen elhelyezett kártékony kódot is el kell indítani. Emellett - nem közvetlenül az újraindítás érdekében - más területeken (könyvtárakban) is létrehoznak magukból másolatot. Ennek kettős célja van: Egyrészt egy esetleges vírusirtást követően egy eldugott helyen megmaradhatnak a fertőzött állományok, másrészt helyi hálózatokban, megosztott könyvtárakban, peer-to-peer hálózatokban is képes terjedni. Kihasználhatják továbbá a Windows alapértelmezés szerinti beállítását is, miszerint egy létrehozott AUTORUN.INF nevű fájllal el lehet érni, hogy egy meghajtó megnyitásakor is aktivizálódjon a kártékony kód.

A féreg az alábbi fájlokat hozza létre:

A Windows mappában (alapértelmezés szerint C:\Windows): winlogon.exe

A megosztott mappákban:

1000 Sex and more.rtf.exe
3D Studio Max 3dsmax.exe
ACDSee 9.exe
Adobe Photoshop 9 full.exe
Adobe Premiere 9.exe
teljes lista...

A féreg kódját tartalmazó fájlok az alábbi ikonnal jelennek meg:

A rendszerleíró adatbázisba a(z) [ HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run] " ICQ Net" =" C: \ WINDOWS\ winlogon. exe - stealth" bejegyzést teszi, illetve módosítja (ha már létezik).

Annak érdekében, hogy egy féreg, vírus egy esetlegesen a megtámadott számítógépen lévő másik károkozó működését korlátozni tudja, ezért a képesek arra, hogy a rendszerleíró adatbázisból a másik vírusra vagy féregre vonatkozó bejegyzéseket töröljék. Előfordulhat az is, hogy így próbálják elejét venni, hogy egy alkalmazás (például vírusvédelem vagy tűzfal) a gép újraindításával aktivizálódjon.

A Win32/Netsky.C féreg a rendszerleíró adatbázisból az alábbi bejegyzéseket törli:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Taskmon
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Taskmon
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Explorer
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Explorer
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KasperskyAv
teljes lista...

A folyamatosan figyelő memóriarezidens vírusoknak, férgeknek célszerű gondoskodni arról, hogy csak egyszer kerüljenek a memóriába. Ennek érdekében úgynevezett mutexet hoznak létre, amelynek a létét a memóriába kerülés elött ellenőrzik.

A Win32/Netsky.C féreg [SkyNet.cz]SystemsMutex néven hoz létre mutexet.

E-mail üzenetek

Az e-mail üzenetekben terjedő férgek elsődleges célja, hogy egy másik számítógépet megfertőzzenek. Ezt e-mail üzenetek létrehozásával és elküldésével érik el. Az létrehozott e-mail üzenetek általában tartalmazzák a féreg kódját, de az is előfordulhat, hogy maga a megtámadott számítógép felhasználója tölti azt le az üzenetben megadott hivatkozásról. Az egyes férgek a legkülönfélébb paraméterekkel rendelkező e-mail üzeneteket képesek generálni és elküldeni.

A Win32/Netsky.C féreg a terjedése érdekében ANSI formátumú e-mail üzeneteket generál és ebben küldi tovább saját kódját.

Hogy az e-mail üzenetekben terjedő vírusok, férgek minél inkább el tudjanak terjedni, a megtámadott számítógépeken e-mail címeket gyűjtenek. Ezeket az e-mail címeket aztán felhasználják egyrészt arra, hogy a vírus, féreg kódját továbbküldjék. Esetenként a megtalált címeket a Feladó mező kitöltésére is használják, meghamisítva ezzel az üzenet forrását.

A Win32/Netsky.C féreg az alábbi kiterjesztésű fájlokban keres e-mail címeket:

dhtm
cgi
shtm
msg
oft
teljes lista...

Az összeállított e-mail üzenetek felépítése az alábbi:

Feladó	A levél feladóját a megtámadott számítógépről gyűjti össze, illetve korábban megtámadott számítógépekről gyűjtötte össze.
Címzett	A féreg az e-mail üzeneteket az összegyűjtött címekre küldi el. Nem küld e-mailt azonban az alábbi szavakat tartalmazó címekre: abuse fbi orton f-pro aspersky teljes lista... abuse fbi orton f-pro aspersky cafee orman itdefender f-secur avp spam ymantec antivi icrosoft vissza...
Tárgy	A levél lehetséges tárgyai: lol <<<Failure>>> <Antispam complete> <Attachment from Poland> <Click the attachment to decrypt> teljes lista... lol <<<Failure>>> <Antispam complete> <Attachment from Poland> <Click the attachment to decrypt> <Deliver Error> <Failed message available> <Server Error> <null> Delivery Failed File is bad. Here is it I wait for an answer! I'm back! Login required! Read the attachment! Question Re: <5664ddff?$??§2> Re: Re: Re: Re: Re: does it? Re: excuse me Re: hello Re: hey Re: hi Re: important Re: information Re: unknown Status Yep a crazy doc about you are you a photographer? are you cranky? attachi# be mad? believe me dear denied! do not use this creditcard! do not visit the pages on the list I sent! do you have? do you know the thief? do you know this???? do you think so? drugs? ... error exception excuse me feel free to use it. good morning great xxx! hello here is the <censored> here, the introduction hey hi i am speachless about your document! i found that about you! i found this document about you. i have received this. illegal... important info information about you? is that your account? is that your creditcard? is that your finger? is that your name? is that your photo? is that your privacy? is that your slip? it's so similar as yours! its me last chance! lol message? moin msg my advice.... new patch is available! oh pages? pretty pic about you? private? re: read it immediatelly report schoolfriend? see your name! something for you stolen take it that's not the truth? the information is wrong! this file is bad! time to fear? trial? trust me warning what's up? who? xxx ? xxx about you? you? your document is not good your job? (I found that!) your lie is going around the world! vissza...
Melléklet	A féreg által elküldött e-mail mellékletének neve lehet: incest image word_doc privacy paypal teljes lista... incest image word_doc privacy paypal music tear naked2 naked1 injection masturbation update violence undefinied warez auction transfer nothing misc material party visa freaky disco msg2 part2 attach2 mail2 secrets object ranking sexual intimate stuff dinner webcam release schock final 454543403 location your_stuff doc_ang jokes unfolds friend regid regards website more letter mails worker story death found birth nomoney aboutyou myaunt shower topseller old_photos product class_photos swimmingpool mydate bill number_phone note news information sexy concert moonlight textfile portmoney posting poster stuff card trash pic attachment details description creditcard response message talk wife doc yours associal document vissza... A féreg által elküldött e-mail mellékletének kiterjesztése lehet: doc htm rtf txt com teljes lista... doc htm rtf txt com exe pif scr zip vissza... A féreg rejtőzködési célból második fájlkiterjesztést is használ a mellékletben.

Tevékenységek

Minden vírus, féreg azt csinál, amit akar, illetve amit a programozó beleprogramozott. Egyes vírusok, férgek tevékenységüket (büntető rutinjukat) valamilyen eseményhez, legtöbbször valamilyen időponthoz kötik.

feltétel	2004. február 26-án 6 órától 9 óráig
tevékenység	az alábbi hango(ka)t ismétli a számítógépen:

Egyebek

A kártékony programok programozói az elkészült kódban üzeneteket, képeket helyezhetnek el, melyeket általában valamilyen formában titkosítanak. A vírusok, programférgek és egyéb kártevők programkódjában sok esetben találunk jellegzetes szövegeket, amelyekben vagy a vírus készítőjének szignóját tisztelhetjük, vagy a vírus működéséhez felhasznált jellemző szövegrészeket (fájl és könyvtárnevek stb.). E szövegek nem mindig ismerhetők fel közvetlenül, többnyire csak a kódolt vírusprogram dekódolásával válnak láthatóvá és olvashatóvá.

A Win32/Netsky.C féreg programkódjában szereplő, de soha meg nem jelenő szöveg(ek):

<-<- we are the skynet - you can't hide yourself! - we kill malware writers (they have no chance!) - [LaMeRz-->]MyDoom.F is a thief of our idea! - -< SkyNet AV vs. Malware >- ->->