ALTE DOCUMENTE
|
||||||||||
Win32/NetSky.B
NetSky.B je v súbore s veľkosťou 22106 bajtov. Je komprimovaný utilitou UPX. Po rozbalení jeho dĺzka narastie na 41984 bajtov.
Poznámka: V ďalsom texte je namiesto mena adresára, v ktorom je nainstalovaný operačný systém Windows, ktorý sa z pochopiteľných dôvodov môze lísiť pri kazdej jednotlivej instalácii pouzitý symbolický zápis %windir%. Podadresár System alebo System32 v adresári %windir% je označovaný ako %system%.
Program po spustení vytvorí v systéme objekt Mutex
s názvom "AdmSkynetJklS003".
Pomocou neho zapezbečí, ze v systéme je aktívna
najviac jedna jeho kópia. Ak je spustený bez parametrov, zobrazí okno s titulkom
"Error" a správou "The file could not be opened !".
Červ sa skopíruje do adresára %windir% pod n ázvom "services.exe". Svojú
automatickú aktiváciu pri starte systému si zapezpečí zapísaním polozky
"service" do kľúča HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run v databáze Registry.
Obsahuje reťazec "%windir%\services.exe
-serv". V ďaka
parametru "-serv" sa úvodné okno pri spúsťaní programu uz
nebude zobrazovať.
Z registrov ďalej odstraňuje polozky:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Taskmon
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Taskmon
HKEY_CLASSES_ROOT\CLSID\\InProcServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Explorer
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Explorer
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KasperskyAv
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\system.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\system.
Syst ém prehľadá vsetky lokálne disky, okrem jednotiek CD-ROM. Ak nájde adresár, ktorý má v svojom mene reťazce "share" alebo "sharing"; skopíruje sa do neho pod týmito názvami:
winxp_crack.exe
dolly_buster.jpg.pif
strippoker.exe
photoshop 9 crack.exe
matrix.scr
porno.scr
angels.pif
hardcore porn.jpg.exe
office_crack.exe
serial.txt.exe
cool screensaver.scr
eminem - lick my pussy.mp3.pif
nero.7.exe
virii.scr
e-book.archive.doc.exe
max payne 2.crack.exe
how to hack.doc.exe
programming basics.doc.exe
e.book.doc.exe
win longhorn.doc.exe
dictionary.doc.exe
rfc compilation.doc.exe
sex sex sex sex.doc.exe
doom2.doc.pif
To mu umoznuje sa síriť pomocou
viacerých P2P sietí, prípadne sa skopírovať
na rôzne zdieľané
disky systémov Windows.
E-mailové adersy hľadá v súboroch s príponami:
.eml
.txt
.php
.pl
.htm
.html
.vbs
.rtf
.uin
.asp
.wab
.doc
.adb
.tbb
.dbx
.sht
.oft
.msg
Rozosiela sa pomocou elektronickej posty v správe, ktorej predmet vyberá náhodne z nasledujúceho zoznamu:
hi
hello
read it immediately
something for you
warning
information
stolen
fake
unknown
Telo správy má jeden riadok, ktorý sa zvolí náhodne z týchto:
anything ok?
what does it mean?
ok
i'm waiting
read the details.
here is the
document.
read it immediately!
my hero
here
is that true?
is that your
name?
is that your
account?
i wait for a reply!
is that from
you?
you are a bad writer
I have your password!
something about you!
kill the writer of this
document!
i hope it is not true!
your name is wrong
i found this document about you
yes, really?
that is bad
here it is
see you
greetings
stuff about you?
something is going wrong!
information about you
about me
from the chatter
here, the serials
here, the introduction
here, the cheats
that's funny
do you?
reply
take it easy
why?
thats wrong
misc
you earn money
you feel the same
you try to steal
you are bad
something is going wrong
something is fool
Správa obsahuje prílohu s červom. Meno prílohy je tiez zvolené náhodne. Môze nadobúdať hodnoty:
document
msg
doc
talk
message
creditcard
details
attachment
me
stuff
posting
textfile
concert
information
note
bill
swimmingpool
product
topseller
ps
shower
aboutyou
nomoney
found
story
mails
website
friend
jokes
location
final
release
dinner
ranking
object
mail2
part2
disco
party
misc
Súbor má dve prípony,
prvá z nich je .txt, .doc, .rtf alebo .htm
a druhá .exe, .scr, .com alebo .pif.
Niekedy v prílohe nie je samotný spustiteľný súbor s červom, ale ZIP archív, ktorý ho
obsahuje.
© 1992-2004 Eset s.r.o. Vsetky práva vyhradené. Ziadna časť tejto encyklopédie nemôze byť reprodukovaná, prenásaná alebo inak pouzitá v akejkoľvek forme alebo akýmkoľvek spôsobom bez predchádzajúceho súhlasu.
|
