Přihlásit se

Nová verze červa Netsky.Q

22. března 2004
Microsoft v červenci spustí nový vyhledávací engine SDÍLET NA FACEBOOKU TWEETNOUT

Konec abecedy se pomalu blíží a nové verze červů se stále objevují. Netsky je již u písmena Q. Opět se jedná o klasického emailového červa, který se šíří na získané adresy ve formě spustitelného nebo komprimovaného souboru.

Pojďme se podívat, co vše červ po spuštění udělá:

  • Svůj kód červ zkopíruje do adresáře Windows pod jménem FXProtect.exe. Do tohoto adresáře dále vypustí soubor userconfig9x.dll.
  • Červ dále vytvoří následující soubory do adresáře Windows:
    • base64.tmp (40,520 bajtů): MIME podoba spustitelného kódu
    • zip1.tmp (40,882 bajtů): MIME podoba ZIP souboru s červem
    • zip2.tmp (40,894 bajtů): MIME podoba ZIP souboru s červem
    • zip3.tmp (40,886 bajtů): MIME podoba ZIP souboru s červem
    • zipped.tmp (29,834 bajtů): Červ v ZIP archívu

  • V systémovém registru přidá záznam "Norton Antivirus AV"="%Windir%\FVProtect.exe" do klíče HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, což zajistí pravidelné spouštění červa po restartu počítače.
  • V registru jsou následně smazány některé hodnoty a dokonce i celé klíče, související převážně s činností „konkurenčních“ červů.
  • Červ prochází celý disk a pokud najde složku obsahující následující text: shared files , kazaa , mule , donkey , morpheus , lime , bear , icq , shar , upload , http , htdocs , ftp , download , my shared folder

    zkopíruje se do této složky pod jedním z následujících jmen:

    "Kazaa Lite 4.0 new.exe" , "Britney Spears Sexy archive.doc.exe" , "Kazaa new.exe" , "Britney Spears porn.jpg.exe" , "Harry Potter all e.book.doc.exe" , "Britney sex xxx.jpg.exe" , "Harry Potter 1-6 book.txt.exe" , "Britney Spears blowjob.jpg.exe" , "Harry Potter e book.doc.exe" , "Britney Spears cumshot.jpg.exe" , "Harry Potter.doc.exe" , "Britney Spears fuck.jpg.exe" , "Harry Potter game.exe" , "Britney Spears.jpg.exe" , "Harry Potter 5.mpg.exe" , "Britney Spears and Eminem porn.jpg.exe" , "Matrix.mpg.exe" , "Britney Spears Song text archive.doc.ex"... , "Britney Spears full album.mp3.exe" , "Eminem.mp3.exe" , "Britney Spears.mp3.exe" , "Eminem Song text archive.doc.exe" ,"Eminem Sexy archive.doc.exe" , "Eminem full album.mp3.exe" , "Eminem Spears porn.jpg.exe" , "Ringtones.mp3.exe" , "Eminem sex xxx.jpg.exe" , "Ringtones.doc.exe" , "Eminem blowjob.jpg.exe" , "Altkins Diet.doc.exe" , "Eminem Poster.jpg.exe" , "American Idol.doc.exe" , "Cloning.doc.exe" , "Saddam Hussein.jpg.exe" , "Arnold Schwarzenegger.jpg.exe" , "Windows 2003 crack.exe" , "Windows XP crack.exe" , "Adobe Photoshop 10 crack.exe" , "Microsoft WinXP Crack full.exe" , "Teen Porn 15.jpg.pif" , "Adobe Premiere 10.exe" , "Adobe Photoshop 10 full.exe" , "Best Matrix Screensaver new.scr" , "Porno Screensaver britney.scr" , "Dark Angels new.pif" , "XXX hardcore pics.jpg.exe" , "Microsoft Office 2003 Crack best.exe" , "Serials edition.txt.exe" , "Screensaver2.scr" , "Full album all.mp3.pif" , "Ahead Nero 8.exe" , "netsky source code.scr" , "E-Book Archive2.rtf.exe" , "Doom 3 release 2.exe" , "How to hack new.doc.exe" , "Learn Programming 2004.doc.exe" , "WinXP eBook newest.doc.exe" , "Win Longhorn re.exe" , "Dictionary English 2004 - France.doc.ex"... , "RFC compilation.doc.exe" , "1001 Sex and more.rtf.exe" , "3D Studio Max 6 3dsmax.exe" , "Keygen 4 all new.exe" , "Windows 2000 Sourcecode.doc.exe" , "Norton Antivirus 2005 beta.exe" , "Gimp 1.8 Full with Key.exe" , "Partitionsmagic 10 beta.exe" , "Star Office 9.exe" , "Magix Video Deluxe 5 beta.exe" , "Clone DVD 6.exe" , "MS Service Pack 6.exe" , "ACDSee 10.exe" , "Visual Studio Net Crack all.exe" , "Cracks & Warez Archiv.exe" , "WinAmp 13 full.exe" , "DivX 8.0 final.exe" , "Opera 11.exe" , "Internet Explorer 9 setup.exe" , "Smashing the stack full.rtf.exe" , "Ulead Keygen 2004.exe" , "Lightwave 9 Update.exe" , "The Sims 4 beta.exe"

  • Na pevných discích C: - Z: vyhledává emailové adresy v následujících typech souborů: .adb , .asp , .cgi , .dbx , .dhtm ,.doc , .eml , .htm ,.html , .jsp , .msg , .oft , .php , .pl , .rtf , .sht , .shtm , .tbb , .txt , .uin , .vbs , .wab , .wsh , .xml

    na které se následně pomocí vlastního SMTP enginu rozesílá. Při rozesílání červ vyřazuje adresy velkých antivirových společností.


    Vlastní email má následující charakteristiku:

    Od: <náhodně>

    Předmět: Jedna z následujících možností: Re: Encrypted Mail , Re: Extended Mail , Re: Status , Re: Notify , Re: SMTP Server , Re: Mail Server , Re: Delivery Server , Re: Bad Request , Re: Failure , Re: Thank you for delivery , Re: Test , Re: Administration , Re: Message Error , Re: Error , Re: Extended Mail System , Re: Secure SMTP Message , Re: Protected Mail Request , Re: Protected Mail System , Re: Protected Mail Delivery , Re: Secure delivery , Re: Delivery Protection , Re: Mail Authentification

    Text zprávy: Jedna z následujících možností: Please see the attached file for details , Please read the attached file! , Your document is attached. , Please read the document. , Your file is attached. , Your document is attached. , Please confirm the document. , Please read the important document. , See the file. , Requested file. , Authentication required. , Your document is attached to this mail. , I have attached your document. , I have received your document. The corrected document is attached. , Your document. , Your details.

    Příloha: jméno přílohy je zkombinováno z následujících textů spojených za sebe:

    • document05 , websites03 , game_xxo , your_document
    • .txt , .doc
    • .exe , .pif, .scr , .zip

Zdroj: Symantec

Váš názor Další článek: Microsoft v červenci spustí nový vyhledávací engine

Témata článku: Windows, Song, Kazaa, Please, Arnold Schwarzenegger, Message, Error, Eminem, Full, Delivery, Pravidelné spouštění, Verze, Have, Keygen, Červ, Crack, Spustitelný soubor, Britney Spears, Harry, Harry Potter, Read, .doc




O webu