 |
|||||||||
|
|||||||||
| SYMBOLIC Antivirus Security Division |
| 1 Marzo 2004 |
| NOME: NetSky.D |
| ALIAS: W32/Netsky.D@mm, I-Worm.NetSky.D |
| DIMENSIONE: 17424 bytes |
Tool di disinfezione F-Secure ha rilasciato un Tool di disinfezione. ftp://ftp.f-secure.com/anti-virus/tools/f-netsky.exe ftp://ftp.f-secure.com/anti-virus/tools/f-netsky.zip Istruzioni per l'utilizzo del tool di disinfezione ftp://ftp.f-secure.com/anti-virus/tools/f-netsky.txt Tool di disinfezione per amministratori centralizzati http://www.europe.f-secure.com/tools/f-netsky.jar ftp://ftp.europe.f-secure.com/anti-virus/tools/f-netsky.jar
Una nuova variante del worm Netsky è stata rilevata il 1 Marzo
2004 e si sta diffondendo rapidamente. Questo worm non contiene molte
delle stringhe che erano presenti nelle varianti precedenti e non si copia
nelle directory condivise. Netsky.D si diffonde solamente come un allegato
eseguibile infetto. Descrizione Dettagliata La descrizione delle versioni precedenti di NetSky possono essere trovate ai seguenti link W32/NetSky.C@mm: Variante C W32/NetSky.B@mm: Variante B W32/NetSky.A@mm: Variante
A
2. Il worm non mostra una finestra di errore quando viene eseguito per la prima volta. 3. Il 2 di marzo il worm utilizza il Pc speaker ed invia suoni ripetutamente
dalle 6:00 alle 8:59. Si può controllare un sample del suono all'indirizzo Come nelle varianti precedenti, NetSky.D si installa come file WINLOGON.EXE nella directory di sistema di Windows e crea una chiave di avvio per questo file nel registro di Windows: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] dove %windir% rappresenta la directory di sistema di Windows. La variante NetSky.D cancella le seguenti chiavi del registro [HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32] [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\PINF] [HKLM\System\CurrentControlSet\Services\WksPatch] [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] Il worm ha le stesse estensioni dei file che usa per collezionare indirizzi mail. Questi file sono ricercati in tutti i drive da c: a Z:, escludendo il drive del CD-ROM. Qui a seguito le estensioni usate dal worm .eml Come nella precedente variante il worm è in grado di discriminare gli indirizzi che contengono le seguenti stringhe e non mandarevi le e-mail infette: icrosoft Il subject delle mail infette mandate dal worm può essere uno dei seguenti: Re: Document Il body del messaggio infetto può essere uno dei seguenti: Your document is attached. L'allegato infetto ha un nome casuale generato dalla seguente lista: your_document.pif Il worm non utilizza nessun exploit per eseguirsi la prima volta. Un
utente deve eseguire l'allegato per essere infettato Rilevazione F-Secure Anti-Virus rileva Netsky.D con gli aggiornamenti pubblicati il 1 Marzo 2004: [FSAV_Database_Version] Version=2004-03-01_03 Descrizione: Alexey Podrezov and Katrin Tocheva, 1 Marzo 2004 F-Secure Corporation |