SG.hu
Netsky.Q féreg: a legújabb változat is közepesen veszélyes
A jelenlegi Netsky.q verzió ismét a már ismert vírus újracsomagolt formája, amely az Internet Explorer sérülékenységét kihasználva terjed.
Az AVERT, a Network Associates vírusszakértői csoportja magasabb veszélyességi kategóriába sorolta át a W32/Netsky.q@MM férget. A közlemény szerint a Netsky.q "közepes" veszélyt jelent az otthoni és a vállalati felhasználók számára egyaránt. Az új besorolást az előfordulás gyakoriságának növekedése tette szükségessé. A vírus Microsoft Internet Explorer (5.01-es, vagy 5.5-ös SP2 nélküli verzióinak) sérülékenységét használja ki, amely miatt egy hibás MIME fejléc tetszőleges kód futtatását teszi lehetővé.
A vírus SysMonXP.exe (22,016 bájt) néven másolja magát a Windows rendszerkönyvtárba. Ugyanabban a könyvtárban létrehozza az alábbi fájlokat is: base64.tmp, firewalllogger.txt, zipo0.txt (Base64 kódolású), zipo1.txt (Base64 kódolású), zipo2.txt (Base64 kódolású), zipo3.txt (Base64 kódolású), zippedbase64.tmp, sysmonxp.exe.
Az indításkor az alábbi kulcs segítségével tölti be magát:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "SysMonXP" = Data: C:\WINDOWS\SysMonXP.exe, ahol a %WinDir% a Windows könyvtár.
A saját SMTP levelező motor a helyi rendszerről gyűjti össze a címeket, a következő típusú fájlokból: .ppt, .xls, .stm, .ods, .nch, .mmf, .mht, .mdx, .mbx, .cfg, .xml, .wsh, .jsp, .html, .htm, .pl, .dbx, .tbb, .adb, .dhtm, .cgi, .shtm, .uin, .rtf, .vbs, .msg, .oft, .sht, .doc, .wab, .asp, .php, .txt, .eml. A vírus nem küldi tovább magát olyan e-mail címekre, melyekben az alábbi szavak megtalálhatók: reports@, spam@, noreply@, @viruslis, ntivir, @sophos, @freeav, @pandasof, @skynet, @messagel, abuse@, @fbi, @norton, @f-pro, @kaspersky, @mcafee, @norman, @bitdefender, @f-secur, @avp, @spam, @symantec, @antivi, @microsof.
Az AVERT, a Network Associates vírusszakértői csoportja magasabb veszélyességi kategóriába sorolta át a W32/Netsky.q@MM férget. A közlemény szerint a Netsky.q "közepes" veszélyt jelent az otthoni és a vállalati felhasználók számára egyaránt. Az új besorolást az előfordulás gyakoriságának növekedése tette szükségessé. A vírus Microsoft Internet Explorer (5.01-es, vagy 5.5-ös SP2 nélküli verzióinak) sérülékenységét használja ki, amely miatt egy hibás MIME fejléc tetszőleges kód futtatását teszi lehetővé.
A vírus SysMonXP.exe (22,016 bájt) néven másolja magát a Windows rendszerkönyvtárba. Ugyanabban a könyvtárban létrehozza az alábbi fájlokat is: base64.tmp, firewalllogger.txt, zipo0.txt (Base64 kódolású), zipo1.txt (Base64 kódolású), zipo2.txt (Base64 kódolású), zipo3.txt (Base64 kódolású), zippedbase64.tmp, sysmonxp.exe.
Az indításkor az alábbi kulcs segítségével tölti be magát:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "SysMonXP" = Data: C:\WINDOWS\SysMonXP.exe, ahol a %WinDir% a Windows könyvtár.
A saját SMTP levelező motor a helyi rendszerről gyűjti össze a címeket, a következő típusú fájlokból: .ppt, .xls, .stm, .ods, .nch, .mmf, .mht, .mdx, .mbx, .cfg, .xml, .wsh, .jsp, .html, .htm, .pl, .dbx, .tbb, .adb, .dhtm, .cgi, .shtm, .uin, .rtf, .vbs, .msg, .oft, .sht, .doc, .wab, .asp, .php, .txt, .eml. A vírus nem küldi tovább magát olyan e-mail címekre, melyekben az alábbi szavak megtalálhatók: reports@, spam@, noreply@, @viruslis, ntivir, @sophos, @freeav, @pandasof, @skynet, @messagel, abuse@, @fbi, @norton, @f-pro, @kaspersky, @mcafee, @norman, @bitdefender, @f-secur, @avp, @spam, @symantec, @antivi, @microsof.