Dnes se poměrně silně začala šířit nová mutace červa Netsky.D, která funkčně vychází z předchozí varianty Netsky.C. Zatím červ není plně prozkoumám, proto si uvedeme pouze fakta, která již známa jsou:
Jedná se o e-mailové červa, který se šíří pomocí zavirované přílohy, napsané v Microsoft Visual C++ a zkomprimované pomocí Petite. Velikost souboru je v komprimované podobě zhruba 17 kB, v nekomprimované pak 27 kB.
Vlastní email má následující charakteristiku:
Předmět: (jedna z následujících možností)
- Your file is attached.
- Please read the attached file.
- Please have a look at the attached file.
- See the attached file for details.
- Here is the file.
- Your document is attached.
- Re: Your website
- Re: Your product
- Re: Your letter
- Re: Your archive
- Re: Your text
- Re: Your bill
- Re: Your details
- Re: My details
- Re: Word file
- Re: Excel file
- Re: Details
- Re: Approved
- Re: Your software
- Re: Your music
- Re: Here
- Re: Re: Re: Your document
- Re: Hello
- Re: Hi
- Re: Re: Message
- Re: Your picture
- Re: Here is the document
- Re: Your document
- Re: Thanks!
- Re: Re: Thanks!
- Re: Re: Document
- Re: Document
Jméno přílohy emailu je vybráno z následujících možností:
- your_website.pif
- your_product.pif
- your_letter.pif
- your_archive.pif
- your_text.pif
- your_bill.pif
- your_details.pif
- document_word.pif
- document_excel.pif
- my_details.pif
- all_document.pif
- application.pif
- mp3music.pif
- yours.pif
- document_4351.pif
- your_file.pif
- message_details.pif
- your_picture.pif
- document_full.pif
- message_part2.pif
- document.pif
- your_document.pif
Červ se vyhýbá šíření na emailové adresy obsahující následující řetězce:
- skynet
- messagelabs
- abuse
- fbi
- orton
- f-pro
- aspersky
- cafee
- orman
- itdefender
- f-secur
- avp
- spam
- ymantec
- antivi
- icrosoft
Červ zkopíruje své tělo do adresáře Windows pod jménem winlogon.exe a následně na něj vytvoří odkaz v registrech, aby bylo zajištěno pravidelné spouštění i po restartu počítače. V registrech červ dále odstraní položky červů Mimal.T, Netsky.A, Nestky.B, Mydoom.A a Mydoom.B
V těle viru je údajně umístěn text "be aware! Skynet.cz - -->AntiHacker Crew<--".
Většina antivirových společností má již definici tohoto červa ve svých aktualizacích – nezapomeňte tedy i na aktualizaci vašeho počítače. V případě, že už jste napadeni, můžete použít jednorázový odstraňovač červů Netsky verze A-D.