Červ NetSky.W funkčně vychází z varianty NetSky.N. Na rozdíl od předchozí varianty „V“, která se šířila poměrně rafinovaným a relativně náročným způsobem, se NetSky.W vrací opět ke klasické a ověřené metodě rozesílání emailem.
Pojďme se podívat, jak se červ NetSky projevuje, pokud nějaký počítač napadne:
Červ samozřejmě vytvoří na lokálním disku několik souborů (%Windir% = adresář s nainstalovaným operačním systémem Windows):
- %Windir%\VisualGuard.exe – kopie červa
- %Windir%\base64.tmp: MIME verze spustitelné podoby červa
- %Windir%\zip1.tmp: MIME verze ZIP archívu s červem
- %Windir%\zip2.tmp: MIME verze ZIP archívu s červem
- %Windir%\zip3.tmp: MIME verze ZIP archívu s červem
- %Windir%\zip4.tmp: MIME verze ZIP archívu s červem
- %Windir%\zip5.tmp: MIME verze ZIP archívu s červem
- %Windir%\zip6.tmp: MIME verze ZIP archívu s červem
- %Windir%\zipped.tmp: Zazipovaný červ
Pomocí přidání hodnoty "NetDy"="%Windir%\VisualGuard.exe" do klíče HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ v systémovém registru si červ zajistí automatické spouštění i po restartu systému.
Jak již je u červů NetSky zvykem, jednotlivé mutace se vzájemně likvidují. NetSky.W na tom není jinak a proto ze systémového registru maže několik klíčů a hodnot, souvisejících s jeho „konkurencí“.
Samozřejmě, že jako každý správný červ nesmí i NetSky.W zapomenou na reprodukci. Proto prochází soubory na lokálních discích, ve kterých sbírá emailové adresy. Na ty se následně šíří pomocí vlastního SMTP engine.
Vlastní email má následující charakteristiku:
Od: <náhodně dosazeno>
Předmět: Tento text je složen z několika částí. Začíná jednou z těchto možností: Re: , Re: Re: , [nic]. Dále pokračuje: read it immediately , important , improved , patched , corrected , approved , thanks! , hello , hi , here, important , approved , my , your , [nic] , document_all , text , message , data , excel document , word document , bill ,screensaver , application , website , product , letter , information , details , file , dokument.
Text zprávy: Vlastní text zprávy je opět sestaven z náhodných řetězců: Authentication required *** I have attached your document. *** I have received your document. The corrected document is attached. *** Please confirm the document. *** Please read the attached file. *** Please read the document. *** Please read the important document. *** Please see the attached file for details. *** Requested file. *** See the file. *** Your details. *** Your document is attached to this mail. *** Your document is attached. *** Your document. *** Your file is attached.
NetSky.W dále používá ještě další rozmáhající se psychologickou větičku, která je samozřejmě falešná. Tu připojí na konec emailu.
--------------------------------------------
(jméno přílohy) : No virus found
Powered by the new Norton OnlineScan
Get protected: www.symantec.com
Příloha: Jméno přílohy je sestaveno z předpřipravených slov. Vlastním typem je pak zvolen .zip, .pif, .exe nebo .scr. V některých případech červ k zavirované příloze přibalí ještě druhý - neškodný - kousek – obrázek typu GIF.