Tool di disinfezione

F-Secure ha reso disponibile uno speciale tool di disinfezione per eliminare il Worm Netsky.Q da una macchina infetta.

ftp://ftp.europe.f-secure.com/anti-virus/tools/f-netsky.exe
ftp://ftp.europe.f-secure.com/anti-virus/tools/f-netsky.zip

Le istruzioni per la disinfezioni sono le seguenti:

ftp://ftp.europe.f-secure.com/anti-virus/tools/f-netsky.txt

Descrizione breve

La variante Q di Netsky è stata rilevata il 29 Marzo 2004.
Questo worm si diffonde usando diversi tipi di exploit e per mezzo di ingegneria sociale.
NetSky fa un attacco di tipo DDos verso differenti siti web e fa in modo che il beeper del PC infetto suoni casualmente.

Infezione del Sistema

Dopo l'esecuzione il worm si copia nella cartella di sistema di Windows come 'SysMonXP.exe', e viene aggiunto al registro nella chiave:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] =
"SysMonXP" = "%SysDir\SysMonXP.exe"

Anche la DLL principale viene messa nella stessa cartella con il nome 'firewallogger.txt' insieme ad altri file temporanei utilizzati dal worm:

'zipo0.txt'
'zipo1.txt'
'zipo2.txt'
'zipo3.txt'
'base64.tmp'
'zippedbase64.tmp'

Il worm elimina altre chiavi del registro che si riferiscono ad altri worm.

Diffusione via Email

Per collezionare indirizzi e-mail, NetSky.Q scandisce ricorsivamente tutti i dischi fissi controllando i file con le seguenti estensioni:

.adb
.asp
.cfg
.cgi
.dbx
.dhtm
.doc
.eml
.htm
.html
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.pl
.ppt
.rtf
.sht
.shtm
.stm
.tbb
.txt
.uin
.vbs
.wab
.wsh
.xls
.xml

Questa variante di NetSky manda email che somigliano a messaggi di errore provenienti da mail server. Le mail sono composte dalle seguenti parti:

Subjects:

Delivery Error <recipient@email.address>
Delivery Failure <recipient@email.address>
Delivery <recipient@email.address>
Mail Delivery failure <recipient@email.address>
Mail Delivery System <recipient@email.address>
Mail System <recipient@email.address>
Delivery <recipient@email.address>
Delivered Message <recipient@email.address>
Error <recipient@email.address>
Status <recipient@email.address>
Failure <recipient@email.address>
Failed <recipient@email.address>
Unknown Exception <recipient@email.address>
Delivery Failed <recipient@email.address>
Deliver Mail <recipient@email.address>
Server Error <recipient@email.address>

Mail Delivery - This mail couldn't be displayed
Mail Delivery Failed - This mail couldn't be represent
Mail Delivery Error - This mail contains unicode characters
Mail Transaction Failed - This mail couldn't be converted
Mail Delivery System - This mail contains binary characters
Mail Delivery Failure - This mail couldn't be shown.
Delivery Failure - Invalid mail specification
Delivery Agent - Translation failed

------------- failed message -------------

The message has been sent as a binary attachment.
Partial message is available and has been sent as a binary attachment.
Received message has been attached.
Message has been sent as a binary attachment.
Translated message has been attached.
Received message has been sent as an encoded attachment.
Modified message has been sent as a binary attachment.
Note: Received message has been sent as a binary file.

Il nome dell'allegato viene creato con uno dei seguenti nomi:

message<caratteri casuale>
msg<caratteri casuale>
mail<caratteri casuale>
data<caratteri casuale>

Le estensioni possono essere '.pif' or '.zip'. Nel caso in cui l'allegato sia ZIP, il nome del file all'interno dell'archivio sarà uno dei seguenti:

data.eml<molti spazi>.scr
mail.eml<molti spazi>.scr
msg.eml<molti spazi>.scr
message.eml<molti spazi>.scr

motivo per cui vengono messi gli spazi tra le due estensioni è di nascondere la seconda estensione alla vista dell'utente, in modo da fargli eseguire un .scr .

La mail può contenere differenti modalità che possono indurre l'utente ad eseguire l'allegato.

1, Un link con il seguente formato:

www.<recipient domain>/inmail/<recipient username>/mread.php?sessionid-<random>

2, L'utilizzo dell'exploit IFRAME (MS01-020) per eseguire autonomamente l'allegato.
Maggiori informazioni riguardanti la vulnerabilità e la patch sono reperibili al seguente link:

http://www.microsoft.com/technet/security/bulletin/MS01-020.mspx

3, Allegto con estensione .pif oppure .zip

Payloads

Dal 7 al 12 Aprile 2004, Netsky.Q i computer infetti inizieranno un attacco DDoS verso i seguenti siti:

www.cracks.st
www.cracks.am
www.emule-project.net
www.kazaa.com
www.edonkey2000.com

Il 30 Marzo NetSky.Q inizierà a suonare casualmente il beeper delle macchine infette.

Rilevazione

F-Secure Anti-Virus rileva Netsky.Q con i seguenti aggiornamenti:

[FSAV_Database_Version]

Version=2004-03-29_01

Descrizione: Gergely Erdelyi, 29 Marzo 2004

F-Secure Corporation