Nová verze červa Netsky.Q

Konec abecedy se pomalu blíží a nové verze červů se stále objevují. Netsky je již u písmena Q. Opět se jedná o klasického emailového červa, který se šíří na získané adresy ve formě spustitelného nebo komprimovaného souboru.

Pojďme se podívat, co vše červ po spuštění udělá:

  • Svůj kód červ zkopíruje do adresáře Windows pod jménem FXProtect.exe. Do tohoto adresáře dále vypustí soubor userconfig9x.dll.
  • Červ dále vytvoří následující soubory do adresáře Windows:
    • base64.tmp (40,520 bajtů): MIME podoba spustitelného kódu
    • zip1.tmp (40,882 bajtů): MIME podoba ZIP souboru s červem
    • zip2.tmp (40,894 bajtů): MIME podoba ZIP souboru s červem
    • zip3.tmp (40,886 bajtů): MIME podoba ZIP souboru s červem
    • zipped.tmp (29,834 bajtů): Červ v ZIP archívu

  • V systémovém registru přidá záznam "Norton Antivirus AV"="%Windir%\FVProtect.exe" do klíče HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, což zajistí pravidelné spouštění červa po restartu počítače.
  • V registru jsou následně smazány některé hodnoty a dokonce i celé klíče, související převážně s činností „konkurenčních“ červů.
  • Červ prochází celý disk a pokud najde složku obsahující následující text: shared files , kazaa , mule , donkey , morpheus , lime , bear , icq , shar , upload , http , htdocs , ftp , download , my shared folder

    zkopíruje se do této složky pod jedním z následujících jmen:

    "Kazaa Lite 4.0 new.exe" , "Britney Spears Sexy archive.doc.exe" , "Kazaa new.exe" , "Britney Spears porn.jpg.exe" , "Harry Potter all e.book.doc.exe" , "Britney sex xxx.jpg.exe" , "Harry Potter 1-6 book.txt.exe" , "Britney Spears blowjob.jpg.exe" , "Harry Potter e book.doc.exe" , "Britney Spears cumshot.jpg.exe" , "Harry Potter.doc.exe" , "Britney Spears fuck.jpg.exe" , "Harry Potter game.exe" , "Britney Spears.jpg.exe" , "Harry Potter 5.mpg.exe" , "Britney Spears and Eminem porn.jpg.exe" , "Matrix.mpg.exe" , "Britney Spears Song text archive.doc.ex"... , "Britney Spears full album.mp3.exe" , "Eminem.mp3.exe" , "Britney Spears.mp3.exe" , "Eminem Song text archive.doc.exe" ,"Eminem Sexy archive.doc.exe" , "Eminem full album.mp3.exe" , "Eminem Spears porn.jpg.exe" , "Ringtones.mp3.exe" , "Eminem sex xxx.jpg.exe" , "Ringtones.doc.exe" , "Eminem blowjob.jpg.exe" , "Altkins Diet.doc.exe" , "Eminem Poster.jpg.exe" , "American Idol.doc.exe" , "Cloning.doc.exe" , "Saddam Hussein.jpg.exe" , "Arnold Schwarzenegger.jpg.exe" , "Windows 2003 crack.exe" , "Windows XP crack.exe" , "Adobe Photoshop 10 crack.exe" , "Microsoft WinXP Crack full.exe" , "Teen Porn 15.jpg.pif" , "Adobe Premiere 10.exe" , "Adobe Photoshop 10 full.exe" , "Best Matrix Screensaver new.scr" , "Porno Screensaver britney.scr" , "Dark Angels new.pif" , "XXX hardcore pics.jpg.exe" , "Microsoft Office 2003 Crack best.exe" , "Serials edition.txt.exe" , "Screensaver2.scr" , "Full album all.mp3.pif" , "Ahead Nero 8.exe" , "netsky source code.scr" , "E-Book Archive2.rtf.exe" , "Doom 3 release 2.exe" , "How to hack new.doc.exe" , "Learn Programming 2004.doc.exe" , "WinXP eBook newest.doc.exe" , "Win Longhorn re.exe" , "Dictionary English 2004 - France.doc.ex"... , "RFC compilation.doc.exe" , "1001 Sex and more.rtf.exe" , "3D Studio Max 6 3dsmax.exe" , "Keygen 4 all new.exe" , "Windows 2000 Sourcecode.doc.exe" , "Norton Antivirus 2005 beta.exe" , "Gimp 1.8 Full with Key.exe" , "Partitionsmagic 10 beta.exe" , "Star Office 9.exe" , "Magix Video Deluxe 5 beta.exe" , "Clone DVD 6.exe" , "MS Service Pack 6.exe" , "ACDSee 10.exe" , "Visual Studio Net Crack all.exe" , "Cracks & Warez Archiv.exe" , "WinAmp 13 full.exe" , "DivX 8.0 final.exe" , "Opera 11.exe" , "Internet Explorer 9 setup.exe" , "Smashing the stack full.rtf.exe" , "Ulead Keygen 2004.exe" , "Lightwave 9 Update.exe" , "The Sims 4 beta.exe"

  • Na pevných discích C: - Z: vyhledává emailové adresy v následujících typech souborů: .adb , .asp , .cgi , .dbx , .dhtm ,.doc , .eml , .htm ,.html , .jsp , .msg , .oft , .php , .pl , .rtf , .sht , .shtm , .tbb , .txt , .uin , .vbs , .wab , .wsh , .xml

    na které se následně pomocí vlastního SMTP enginu rozesílá. Při rozesílání červ vyřazuje adresy velkých antivirových společností.


    Vlastní email má následující charakteristiku:

    Od: <náhodně>

    Předmět: Jedna z následujících možností: Re: Encrypted Mail , Re: Extended Mail , Re: Status , Re: Notify , Re: SMTP Server , Re: Mail Server , Re: Delivery Server , Re: Bad Request , Re: Failure , Re: Thank you for delivery , Re: Test , Re: Administration , Re: Message Error , Re: Error , Re: Extended Mail System , Re: Secure SMTP Message , Re: Protected Mail Request , Re: Protected Mail System , Re: Protected Mail Delivery , Re: Secure delivery , Re: Delivery Protection , Re: Mail Authentification

    Text zprávy: Jedna z následujících možností: Please see the attached file for details , Please read the attached file! , Your document is attached. , Please read the document. , Your file is attached. , Your document is attached. , Please confirm the document. , Please read the important document. , See the file. , Requested file. , Authentication required. , Your document is attached to this mail. , I have attached your document. , I have received your document. The corrected document is attached. , Your document. , Your details.

    Příloha: jméno přílohy je zkombinováno z následujících textů spojených za sebe:

    • document05 , websites03 , game_xxo , your_document
    • .txt , .doc
    • .exe , .pif, .scr , .zip

Zdroj: Symantec

Váš názor Další článek: Microsoft v červenci spustí nový vyhledávací engine

Témata článku: Windows, Eminem, Britney Spears, Please, Crack, Harry Potter, Have, Song, Červ, Kazaa, Full, Spustitelný soubor, Read, Arnold Schwarzenegger, Harry, Error, Pravidelné spouštění, .doc, Delivery, Keygen, Verze, Message


Určitě si přečtěte

Nejlepší notebooky do 20 000 Kč. Tipy, co se dnes vyplatí koupit

Nejlepší notebooky do 20 000 Kč. Tipy, co se dnes vyplatí koupit

** S cenou do 20 tisíc lze vybrat solidní notebook na práci i hry ** Přenosné notebooky nabídnou i kovová těla a rychlý hardware ** Na hraní se hodí více peněz, ale na použitelný základ dvacet tisíc stačí

Tomáš Holčík, David Polesný | 39

Vyzkoušeli jsme chytrou čínskou zásuvku Sonoff S26 za tři stovky. Nevyhořeli jsme

Vyzkoušeli jsme chytrou čínskou zásuvku Sonoff S26 za tři stovky. Nevyhořeli jsme

** Je sice z Aliexpressu, ale funguje ** Můžete ji ovládat hlasem přes Amazon Echo nebo Google Home ** Za tři stovky zautomatizuje menší 230V spotřebič

Jakub Čížek | 109

Antivir zdarma: 8 bezplatných řešení, která zatočí s havětí v počítači

Antivir zdarma: 8 bezplatných řešení, která zatočí s havětí v počítači

** Součástí Windows 10 je integrovaný antivirový program. Stačí to? ** Představíme vám sedm aplikací na boj proti virům a malwaru ** Všechny jsou k dispozici zdarma a některé ani nemusíte instalovat

Karel Kilián | 31

Google Coral: Raspberry Pi s čipem, který zpracuje 4 biliony operací za sekundu

Google Coral: Raspberry Pi s čipem, který zpracuje 4 biliony operací za sekundu

** Je to velké jako Raspberry Pi ** Ale je to až o několik řádů rychlejší ** Dorazil nám exotický Google Coral s akcelerátorem Edge TPU

Jakub Čížek | 18


Aktuální číslo časopisu Computer

Megatest: 20 powerbank s USB-C

Test: mobily do 3 500 Kč

Radíme s výběrem routeru

Tipy na nejlepší vánoční dárky