Новый Netsky: не попадитесь на его уловки!

[29.03.2004]

Служба мониторинга вирусной активности ЗАО «ДиалогНаука» сообщает о появлении в сети Интернет новой модификации почтового червя массовой рассылки из семейства Netsky. Новый червь детектируется антивирусными программами семейства Dr.Web^® как Win32.HLLM.Netsky.28672. В других антивирусных компаниях он получил название Netsky.Q.

Как и все свои предшественники, новый червь распространяется по электронной почте. В поисках адресов электронной почты червем сканируются жесткие диски компьютера по маскам, заложенным в его коде. Тема сообщения, внутри которого на компьютер и попадает новая зараза, чаще всего сообщает пользователю об ошибке, например,

Delivery Error
Delivery Failure
Delivery
Mail Delivery failure

Следующий далее текст самого сообщения также информирует об ошибке при получении письма, например

Mail Delivery Failed - This mail couldn't be represented

за которым следует генерируемый червем разного рода «мусор»

------------- failed message -------------
OZ*gok:thDVv$qVfI*yS1T%u?Ce+sjbNK2mZey1L1(+D,(kn0<2TIq>G$d#KUc(.-yo
H╧cq|~nCcYBYuj!c.,B'bgL║7u.w2dd&i'NAiGфdzNl1ф
mKTiT4?f0jdnQ|!!>b+nNQJ-dg'HK5b|:TLm

Сопутствующее вредоносному посланию вложение может состоять из слов data,mail,msg или message за которыми следует произвольное число, например "message17832.pif". Расширение такого вложения .zip или .pif.

После запуска червь пытается запустить приложение Notepad.exe c файлом temp.eml (если таковой имеется на компьютере). Свою копию sysmonxp.exe он помещает в директорию Windows. В ту же директории червь помещает еще один файл - Firewalllogger.txt, который, несмотря расширение .txt, является файлом динамической библиотеки – .dll, содержащим процедуру распространения червя по электронной почте.

С 8 по 12 апреля нынешнего года червь будет проводить DDoS атаки на сайты

www.cracks.st
www.cracks.am
www.emule-project.net
www.kazaa.com
www.edonkey2000.com

а 30 марта 2004 с 5 до 11 часов колонки динамиков зараженных компьютеров будут издавать произвольные звуки.

Как и предыдущий вариант, нынешний червь удаляет из системного реестра данные, внесенные другими вредоносными программами.

Также в тексте червя зашифровано следующее послание:

 We are the only SkyNet, we don't have any criminal inspirations.
 Due to many reports, we do not have any backdoors included for spam relaying.
 and we aren't children. Due to this, many reports are wrong.
 We don't use any virus creation toolkits, only the higher language
 Microsoft Visual C++ 6.0. We want to prevent hacker,
 cracking, sharing with illegal stuff and similar illegal content.
 Hey, big firms only want to make a lot of money.
 That is what we don't prefer. We want to solve and avoid it.
 Note: Users do not need a new av-update, they need
 a better education! We will envolope...

  - Best regards, the SkyNet Antivirus Team, Russia 05:11 P.M -