|
Il
worm si diffonde via posta elettronica con
un allegato utilizzando un proprio motore
SMTP.
E' un mass-mailing worm che si autoinvia
a tutti gli indirizzi di posta elettronica
che trova all’interno dei file della macchina
attaccata aventi le seguenti estensioni:
- ADB
- ASP
- DBX
- DOC
- EML
- HTM
- HTML
- MSG
- OFT
- PHP
- PL
- RTF
- SHT
- TBB
- TXT
- UIN
- VBS
- WAB
I messaggi infetti hanno
le seguenti caratteristiche:
Indirizzo del mittente:
è casuale e viene scelto tra gli indirizzi
delle macchine infette, ma il mittente in
realtà è un'altro.
La e-mail contenente
il worm in allegato:
|
Da:
indirizzo e-mail casuale che non
identifica il reale mittente
Oggetto:(uno dei seguenti)
fake
hello
hi
information
read it immediately
something for you
stolen
unknown
warning
Corpo del messaggio:(uno
dei seguenti)
about me
anything ok?
do you?
from the chatter
greetings
here
here is the document.
here it is
here, the cheats
here, the introduction
here, the serials
i found this document about you
I have your password!
i hope it is not true!
i wait for a reply!
i'm waiting
information about you
is that from you?
is that true?
is that your account?
is that your name?
kill the writer of this document!
misc
my hero
ok
read it immediately!
read the details.
reply
see you
something about you!
something is fool
something is going wrong
something is going wrong!
stuff about you?
take it easy
that is bad
that's funny
thats wrong
what does it mean?
why?
yes, really?
you are a bad writer
you are bad
you earn money
you feel the same
you try to steal
your name is wrong
Nome del file in
allegato:(uno dei seguenti)
aboutyou
attachment
bill
concert
creditcard
details
dinner
disco
doc
document
final
found
friend
information
jokes
location
mail2
mails
me
message
misc
msg
nomoney
note
object
part2
party
posting
product
ps
ranking
release
shower
story
stuff
swimmingpool
talk
textfile
topseller
website
Attenzione, il file
ha una doppia estensione
Prima estensione:
DOC
HTM
RTF
TXT
Seconda estensione:
COM
EXE
PIF
SCR
Il file infetto può
anche essere in formato compresso .zip
|
Cosa
accade se il worm viene attivato:
Una volta attivato, il worm
copia il file SERVICES.EXE nella directory
di Windows e attraverso la chiave
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
service = %Windows%\services.exe -serv
il file SERVICES.EXE
viene eseguiro ad ogni riavvio del sistema
operativo.
Alla prima esecuzione visualizza questa finestra
con il messaggio 'il file non può essere
aperto'
Successivamente
il worm copia se stesso in varie directory
e tra queste c'e' anche la cartella in cui
e' installato Windows, dove si possono trovare
40 file .zip contenenti Netsky.B.
Un sistema attaccato da Netsky.B si ritrovera'
tra i programmi in esecuzione un processo
dal nome "AdmSkynetJklS003".
I maggiori produttori di antivirus hanno già
aggiornato i loro programmi e quindi per proteggersi
dal worm è sufficiente scaricare gli
aggiornamenti.
Ricordiamo di
prestare sempre la massima cautela nell'aprire
file allegati alle e-mail della cui origine
non si sia certi e di esercitare la massima
prudenza anche in presenza di allegati provenienti
da conoscenti, ma che non erano attesi e di
aggiornare costantemente il programma antivirus
|
