(Email-Worm.Win32.Mydoom.am, Email-Worm.Win32.NetSky.ae, Email-Worm.Win32.NetSky.c, Email-Worm.Win32.NetSky.gen, Email-Worm.Win32.NetSky.t, Email-Worm.Win32.NetSky.v, Generic!Morphine, W32.Netsky.C@mm, W32.Netsky.P@mm!enc, W32.Netsky.T@mm, W32.Netsky.U@mm, W32.Netsky.gen@mm, W32/Bugbear.17916intd, W32/Netsky.ad@MM, W32/Netsky.c@MM, W32/Netsky.gen@MM, W32/Netsky.t.eml!exe, W32/Netsky.u.eml!exe, WORM_NETSKY.C, WORM_NETSKY.U, Win32/Bagle.Variant!Worm, Win32/NetSky.T!Base64!Worm, Win32/Netsky.C!Worm)
Тип вируса: Почтовые черви массовой рассылки
Уязвимые ОС: Win95/98/Me/NT/2000/XP
Размер файла: может быть 25 352 байт, 17 424 байт, 24 840 байт, 22 016 байт, 18 944 байт, 31 232 байт
Упакован: могут быть упакованы PETITE, PEPACK, PCPEC, UPX, PECOMPACT
Техническая информация
- Чтобы обеспечить автоматический запуск своих копий при каждой перезагрузке Windows, различные модификации червя могут вносить данные
C:Windowswinlogon.exe -stealth,
C:WindowsMsnMsgrs.exe -alev,
C:Windowsfooding.exe -antivirus
в ветвь реестра HKLMSoftwareMicrosoftWindowsCurrentVersionRun
- Адреса для почтовой рассылки черви извлекают из файлов со следующими расширениями:
dhtm
.cgi
.shtm
.msg
.oft
.sht
.dbx
.tbb
.adb
.doc
.wab
.asp
.uin
.rtf
.vbs
.html
.htm
.pl
.php
.txt
.em
- Для распространения по сети обмена файлами черви копируют себя в общие директории в виде файлов со следующими именами:
The Sims 3 crack.exe
Lightwave SE Update.exe
Ulead Keygen.exe
Smashing the stack.rtf.exe
IE58.1 full setup.exe
Opera.exe
DivX 7.0 final.exe
WinAmp 12 full.exe
Cracks & Warez Archive.exe
Visual Studio Net Crack.exe
ACDSee 9.exe
MS Service Pack 5.exe
Clone DVD 5.exe
Magix Video Deluxe 4.exe
Star Office 8.exe
Partitionsmagic 9.0.exe
Gimp 1.5 Full with Key.exe
Norton Antivirus 2004.exe
Windows Sourcecode.doc.exe
Keygen 4 all appz.exe
3D Studio Max 3dsmax.exe
1000 Sex and more.rtf.exe
RFC Basics Full Edition.doc.exe
Dictionary English - France.doc.exe
Win Longhorn Beta.exe
WinXP eBook.doc.exe
Learn Programming.doc.exe
How to hack.doc.exe
Doom 3 Beta.exe
E-Book Archive.rtf.exe
Virii Sourcecode.scr
Ahead Nero 7.exe
Full album.mp3.pif
Screensaver.scr
Serials.txt.exe
Microsoft Office 2003 Crack.exe
XXX hardcore pic.jpg.exe
Dark Angels.pif
Porno Screensaver.scr
Best Matrix Screensaver.scr
Adobe Photoshop 9 full.exe
Adobe Premiere 9.exe
Teen Porn 16.jpg.pif
Microsoft WinXP Crack.exe
- Темы рассылаемых сообщений выбираются из ниже указанного списка. Чаще всего встречается сообщение о том, что почтовый адрес пользователя деактивирован или закрыт, и пользователю предлагается ознакомиться с подробностями.
Your mail account expired. Please follow the link to reactivate.
Your mail account has been closed. Click on the link for further details.
Your mail account has been deactivated. To reactivate, follow the link.
Mail account expired
Mail account closed
Mail account deactivated
Your file is attached.
Please read the attached file.
Please have a look at the attached file.
See the attached file for details.
Here is the file.
Your document is attached.
me veja peladinha
gostaria disso e voce???
algo a mais falea verdade!!!
ganhe muita grana
campanhadafome
pq nao me liga??
sinto voce!!
grana
Lembra? amor me liga
Hackers do Brasil
Medical Labs Exames!!!
meu telefone liga
ferias nos E.U.A
Surto :(
Vacina contra o HIV!!
sua conta bancaria zerada
olha que isso!!!
parabens!
te amo!
Policia SP
Sua Conta!!
Boleto Pague
veja o que tem no zip e me liga receitas de bolo!!
acrdito que em voce!!!
promocao de viajens de fim de ano
tudo sobre voce sabe
Proposta de emprego!!
estou doente veja!!!
me diz o queacha?
retorna logo isso!!
arquivo zipado PGP???
voce passou
:D!!!
ve ai logo ta
AMA!
AmaVoce
Abra rapido isso!!!!
reza de sao tome!!!!.
veja detalhes!!!.
encontro voce!
preenche ai ta bom
PizzaVeneza!
vaca
tetas
war3!
AIDS!
grana
banco!
revista lulao!
imposto jogo!
loterias
vips!
missao
vadias!
email
flipe
botao
sampa!!
contas!!
zerado
:(
criancas!
brasil!
lantrocidade
aqui
docs
festa!!
LINUSTOR
bingos!
agua!
:D
sorteado!!
grana!!
dinheiro!!
carros!
voce
:-)
???
circular
agradou
diga
robos!
impressao!!
massas!
pescaria por kilo
Sua saude esta bem? morto :)
- Вложенные в тело письма копии червей могут быть как с одинарным, так и с двойным расширением. Примеры:
your_website.pif
your_product.pif
your_letter.pif
your_archive.pif
your_text.pif
your_bill.pif
your_details.pif
document_word.pif
document_excel.pif
my_details.pif
all_document.pif
application.pif
mp3music.pif
yours.pif
document_4351.pif
your_file.pif
message_details.pif
your_picture.pif
document_full.pif
message_part2.pif
document.pif
your_document.pif
vota!.zip.scr
aninha gatinha!.zip.scr
importante!!!!!.zip.scr
minhavida!.zip.exe
comoserrico!.zip.scr
vida!!.zip.scr
receitas de bolo!!.zip.scr
celulares!!.zip.scr
clica ai logo meu.scr
rede globo tv!.zip.scr
rocha.scr
paula!.scr
Carnaval em Salvador!!.zip.scr
vadias peladas!!.scr
cafe!!.zip.scr
traficoemSP!.scr
MulataDandoOcujpg.scr
multas.pif
caspa.scr
barrio.scr
ResidentEvil2.zip.scr
puteiros!!.scr
Canaval2004!.jpg.pif
VivaNaBaia!.scr
- Не производят рассылку по адресам, которые содержат подстроки:
abuse
fbi
orton
f-pro
aspersky
cafee
orman
itdefender
f-secur
avp
spam
ymantec
antivi
icrosoft
iruslis
andasoftwa
skynet
- Удаляют следующие ключи реестра и все данные в них:
HKCUSoftwareMicrosoftWindowsCurrentVersionRunKasperskyAV
HKCUSoftwareMicrosoftWindowsCurrentVersionRunTaskmon
HKCUSoftwareMicrosoftWindowsCurrentVersionRunmsgsvr32
HKCUSoftwareMicrosoftWindowsCurrentVersionRunservice
HKCUSoftwareMicrosoftWindowsCurrentVersionRunOLE
HKCUSoftwareMicrosoftWindowsCurrentVersionRunSentry
HKCUSoftwareMicrosoftWindowsCurrentVersionRunWindows Services Host HKCUSoftwareMicrosoftWindowsCurrentVersionInternet SettingsProxyServer
HKCUSoftwareMicrosoftWindowsCurrentVersionInternet SettingsProxyOverride
HKCUSoftwareMicrosoftWindowsCurrentVersionInternet SettingsAutoConfigURL
HKCUSoftwareMicrosoftWindowsCurrentVersionRunDELETE ME
HKCUSoftwareMicrosoftWindowsCurrentVersionRunau.exe
HKCUSoftwareMicrosoftWindowsCurrentVersionRund3dupdate.exe
HKLMSystemCurrentControlSetServicesWksPatch
- Могут содержать в своём теле IP-адреса сайтов немецких, швейцарских и голландских компаний, на которые проводятся DoS-атаки.
- Могут содержать текстовые строки экспрессивного характера, обращённые к авторам почтовых червей семейств MyDoom и Beagle.
Например:
Hey Bagle, feel our revenge!
MyDoom and Bagle are spammer we are the skynet - you can`t hide yourself! - we kill malware writers (they have no chance!) - [LaMeRz-->]MyDoom.F is a thief of our idea! - -< SkyNet AV vs. Malware >- ->->
Рекомендации по восстановлению системы
- Загрузить ОС Windows в Безопасном режиме (Safe Mode).
- Воспользоваться дисковым сканером Dr.Web® либо бесплатной утилитой Dr.Web® CureIT! для сканирования локальных дисков компьютера. Для всех найденных инфицированных файлов необходимо применить действие "Лечить".
- Восстановить реестр из резервной копии.
Важно! Непосредственно перед выполнением п.2 необходимо настроить используемый почтовый клиент таким образом, чтобы он хранил вложения в виде отдельных файлов, а не в теле почтовой базы. Например, хранение вложений отдельно от почтовой базы в почтовом клиенте TheBat! настраивается следующим образом:
Ящик - Свойства почтового ящика - Файлы и каталоги - Хранить присоединенные файлы в отдельном каталоге (Account - Properties - Files & Directories - Keep attachment files - Separately in a special directory).
Источник: drweb.com.
|