Tool di disinfezione

F-Secure ha rilasciato un Tool di disinfezione.
E' disponibile al dowload ai seguenti link:

ftp://ftp.f-secure.com/anti-virus/tools/f-netsky.exe

ftp://ftp.f-secure.com/anti-virus/tools/f-netsky.zip

Istruzioni per l'utilizzo del tool di disinfezione

ftp://ftp.f-secure.com/anti-virus/tools/f-netsky.txt

Tool di disinfezione per amministratori centralizzati

http://www.europe.f-secure.com/tools/f-netsky.jar

ftp://ftp.europe.f-secure.com/anti-virus/tools/f-netsky.jar

Descrizione breve

L'ennesima variante del Netsky è stata rilevata il 10 Marzo 2004. Si copia nella directory di Windows come AVprotect.exe

Descrizione dettagliata
Questa nuovo variante ha meno funzionalità delle precedenti. Contiene un minimo set di funzionalità e nessuna nuova stringa riguardante la "guerra" tra scrittori di virus.

Crea le seguenti chiavi nel registro di sistemai:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HtProtect" = %sysdir%\AVprotect.exe

Crea un mutex chiamato "Rabbo" per fare in modo di eseguirsi una sola volta

Diffusione via mail

Il worm si diffonde unsando uno dei seguenti subject:

Re: Important
Re: Your document
Re: Your details
Re: Approved

Utilizza uno dei seguenti body:

Your file is attached.
Please read the document.
Your document is attached.
Please read the attached file.
Please see the attached file for details.

L'allegato della mail infetta è uno dei seguenti:

your_file_%s.pif
details_%s.pif
document_%s.pif

Dove '%s'viene sostituito da una stringa di testo

Rilevazione

F-Secure Anti-Virus rileva Netsky.L con i seguenti aggiornamenti:

[FSAV_Database_Version]

Version=2004-03-10_03

Descrizione: Ero Carrera, 10 Marzo 2004

F-Secure Corporation