|
| VIRUS advarsel w32-netsky-B.worm polles har modtaget 5 point for dette tip Fra : polles | Vist : 624 gange
Dato : 18-02-04 21:51 |
|
Navn: W32-Netsky-B.Worm
Alias:
W32/Netsky.b@MM
Udsendt: 18-02-2004 14:44:14
Type: Worm
Spredning: Medium
Ødelæggelse: Lav
Sårbare klienter: Windows 2000
Windows 95
Windows 98
Windows ME
Windows XP
Vedhæftede filer: Se Beskrivelse for mere info.
Størrelse: 22.016 B
Disinfektion:
Opdaget: 18-02-2004 14:34:30
Beskrivelse:
W32.skyNet-B.worm er en ny variant af W32.Skynet-A.worm, som spreder sig
via e-mail og Windows fildeling. Ormen indeholder sin egen SMTP server
som den bruger til at afsending af e-mails. W32.SkyNet-B.worm er skrevet
i Microsoft Visual C++ og er pakket med UPX.
Følgende kan ske ved inficering:
Kraftig udsendelse af virusbefængte e-mails fra det inficerede
system.
Deling af virus via netværk.
Ormen laver følgende filer på det inficerede system:
%windows mappen%\services.exe
Ormen indsætter følgende i registreringsdatabasen:
værdi: "service" = %windows mappen%\services.exe
Nøgle:
HKEY_LOCAL_MACHINE\Software\Microsft\Windows\CurrentVersion\Run
Beskrivelse: Dette får ormen til at starte sammen med windows.
Teknisk beskrivelse:
En e-mail indeholdende denne orm kan se ud som følgende:
Afsender: Den sætter afsender til en e-mail adresse den har fundet på
det inficerede system.
Emne kan være en af følgende:
unknown
fake
stolen
information
warning
something for you
read it immediately
hello
Besked (en af følgende):
something is fool
something is going wrong
you are bad
you try to steal
you feel the same
you earn money
thats wrong
why?
take it easy
reply
do you?
that's funny
here, the cheats
here, the introduction
here, the serials
from the chatter
about me
information about you
something is going wrong!
stuff about you?
greetings
see you
here it is
that is bad
yes, really?
i found this document about you
your name is wrong
i hope it is not true!
kill the writer of this document!
something about you!
I have your password!
you are a bad writer
is that from you?
i wait for a reply!
is that your account?
is that your name?
is that true?
here
my hero
read it immediately!
here is the document.
read the details.
i'm waiting
what does it mean?
anything ok?
Fornavnet i den vedhæftede fil kan være en af følgende:
misc
party
disco
part2
mail2
object
ranking
dinner
release
final
location
jokes
friend
website
mails
story
found
nomoney
aboutyou
shower
topseller
product
swimmingpool
bill
note
concert
textfile
posting
stuff
attachment
details
creditcard
message
talk
document
unknown
fake
stolen
information
warning
Den vedhæftede fil indeholder en dobbelt filendelse dannet af følgende
kombinationer: DOC, RTF, COM, SCR, HTM, PIF samt EXE. Den vedhæftede fil
vil være pakket med zip. Zip-filen vil indeholde en kopi af ormen dannet
af ovenstående tekststrenge.
Ormen søger det inficerede system igennem for e-mail adresser fra filer
med følgende efternavne:
.msg
.oft
.sht
.dbx
.tbb
.adb
.doc
.wab
.asp
.uin
.rtf
.vbs
.html
.htm
.php
.txt
.eml
Ormen kopierer sig selv til alle drev der indeholder "share" eller
"sharing", hvis drevet ikke er et CD-ROM drev som følgende filnavne:
doom2.doc.pif
sex sex sex sex.doc.exe
rfc compilation.doc.exe
dictionary.doc.exe
win longhorn.doc.exe
e.book.doc.exe
programming basics.doc.exe
how to hack.doc.exe
max payne 2.crack.exe
e-book.archive.doc.exe
virii.scr
nero.7.exe
eminem - lick my pussy.mp3.pif
cool screensaver.scr
serial.txt.exe
office_crack.exe
hardcore porn.jpg.exe
angels.pif
porno.scr
matrix.scr
photoshop 9 crack.exe
strippoker.exe
dolly_buster.jpg.pif
winxp_crack.exe
Disse vil også forsøges delt via P2P netværk.
W32.Netsky-B.worm indeholder følgende e-mail adresse: skynet@skynet.de.
Fjernelse:
Stop processen: service.exe i joblisten.
Slet følgende fil: %windows mappen%\services.exe
Vælg start -> kør -> skriv: regedit -> tryk ok.
Find nøglen:
HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run
Og slet: "services"
Genstart herefter computeren.
| |
| Bedømmelse
Fra : Vagnsine |
Dato : 18-02-04 22:31 |
| | |
| Bedømmelse
Fra : refi |
Dato : 18-02-04 22:24 |
| | |
| Bedømmelse
Fra : ofa |
Dato : 18-02-04 22:06 |
| | |
| Bedømmelse
Fra : catbody |
Dato : 18-02-04 21:58 |
| | |
| Du har følgende muligheder | |
|
Eftersom du ikke er logget ind i systemet, kan du ikke lave en bedømmelse til dette tip.
Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.
| |
|
|