További Biztonság cikkek
Február 18-án új féregvírus kezdte meg terjedését, a NetSky.B vagy Moodown.B a két nappal korábban megjelent NetSky.A variánsa. A féreg emailekhez csatolt .zip kiterjesztésű fájlként terjed, a levelek változatos tárgysorral és szöveggel érkezhetnek. A NetSky.B a fertőzött gépen talált emailcímekre saját levelezőmotorjával küldi tovább magát, írta a Vírushíradó.
A féreg csak akkor aktivizálódik, ha a mellékletet kézzel lefuttatják. Indítás után megtévesztő hibaüzenetet jelenít meg: "Error, The file could not be opened!" (Hiba, a fájlt nem sikerült megnyitni!).
Változatos
A NetSky.B az újabb emailférgekhez hasonlóan meghamisítja a levelek feladóját. A fertőzött emailek tárgya változatos lehet, ezt az alábbi listából véletlenszerűen választja a féreg:
hi, hello, read it immediately, something for you, warning, information, stolen, fake, unknown
A levél törzse a következőket tartalmazhatja:
anything ok?, what does it mean?, ok, i'm waiting, read the details., here is the document., read it immediately!, my hero, here, is that true?, is that your name?, is that your account?, i wait for a reply!, is that from you?, you are a bad writer, I have your password!, something about you!, kill the writer of this document!, i hope it is not true!, your name is wrong, i found this document about you, yes, really?, that is bad, here it is, see you, greetings, stuff about you?, something is going wrong!, information about you, about me, from the chatter, here, the serials, here, the introduction, here, the cheats, that's funny, do you?, reply, take it easy, why?, thats wrong, misc, you earn money, you feel the same, you try to steal, you are bad, something is going wrong, something is fool
Az emailmellékletek nevei a következőek lehetnek:
aboutyou, attachment, bill, concert, creditcard, details, dinner, disco, doc, document, final, found, friend, information, jokes, location, mail2, mails, me, message, misc, msg, nomoney, note, object, part2, party, posting, product, ps, ranking, release, shower, story, stuff, swimmingpool, talk, textfile, topseller, website
A féreg egyszeres vagy kétszeres kiterjesztést használ, a csatolt fájl első kiterjesztése .txt, .rtf, .doc vagy .htm lehet, míg a második kiterjesztés a következő négyesből kerül ki: .exe, .scr, .com, .pif.
A megosztást is elfoglalja
A féreg lefutás után a Windows mappájába másolja magát Services.exe néven, majd egy registrybejegyzés segítségével gondoskodik az automatikus futtatásról. A registry módosítása után emailcímek után kutatva a CD-ROM-ok kivételével átnézi a meghajtókat. Amennyiben a féreg "Sharing" vagy "Share" nevű mappát talál a merevlemezen, a következő fájlneveket használva oda is bemásolja magát:
angels.pif, cool screensaver.scr, dictionary.doc.exe, dolly_buster.jpg.pif, doom2.doc.pif, e.book.doc.exe, e-book.archive.doc.exe, eminem - lick my pussy.mp3.pif, hardcore porn.jpg.exe, how to hack.doc.exe, matrix.scr, max payne 2.crack.exe, nero.7.exe, office_crack.exe, photoshop 9, crack.exe, porno.scr, programming basics.doc.exe, rfc compilation.doc.exe, serial.txt.exe, sex sex sex sex.doc.exe, strippoker.exe, virii.scr, win longhorn.doc.exe, winxp_crack.exe
Már felismerik
Ha élő internetkapcsolatot érzékel, a NetSky.B saját SMTP motorjának felhasználásával kezdi el terjeszteni magát. Első lépésként .zip kiterjesztésű fájlokat készít a Windows mappában. A tömörített fájlok neve megegyezik a féreg által használt mellékletnevekkel.
A NetSky.B az így megkonstruált emailt a korábban megszerzett címekre próbálja elküldeni. A féreg kódjának részletes elemzése még tart, azonban az ellene védő frissítések már megjelentek a Kaspersky és az F-Secure antivírus programokhoz.
Kövesse az Indexet Facebookon is!
Követem!
