Tool di disinfezione

F-Secure ha rilasciato un Tool di disinfezione.
E' disponibile al dowload ai seguenti link:

ftp://ftp.f-secure.com/anti-virus/tools/f-netsky.exe

Istruzioni per l'utilizzo del tool di disinfezione

ftp://ftp.f-secure.com/anti-virus/tools/f-netsky.txt

Descrizione breve

La variante X della famiglia di worm NetSky è stata scoperta il 20 Aprile 2004.

Questa variante è molto simile alla precedente infatti condivide circa l'80% del codice e delle caratteristiche di NetSky.U

NetSky.X contiene messaggi in differenti linguaggi quali tedesco, portoghese e italiano fra gli altri.

Descrizione Dettagliata

Il worm si presenta come un eseguibile in formato PE compresso con PE-Patch e TeLock.

Alcune delle strighe contenute all'interno del programma sono offuscate usando le stesse tecniche di tutte le altre varianti di NetSky.

Installazione

Dopo essere stato eseguito NetSky.X copia se stesso nella cartella Windows con il nome FirewaalSrv.exe e aggiunge le seguenti chiave al registro di sistema:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"FirewallSrv" = "%WinDir%\FirewaalSrv.exe"

dove %WinDir% indica la cartella Windows.

Diffusione via email

Prima di iniziare a diffondersi via mail NetSky.X raccoglie gli indirizzi da usare. Il worm effettua una scansione di tutti i drive da C: a Z: escludendo i CDROM cercando file che hanno le seguenti estensioni:

.eml
.txt
.php
.cfg
.mbx
.mdx
.asp
.wab
.doc
.vbs
.rtf
.uin
.shtm
.cgi
.dhtm
.adb
.tbb
.dbx
.pl
.htm
.html
.sht
.oft
.msg
.ods
.stm
.xls
.jsp
.wsh
.xml
.mht
.mmf
.nch
.ppt

Una volta trovati i file sono analizzati per cercare eventuali indirizzi email contenuti.
NetSky.X crea 2 diversi tipi di messaggi a seconda del dominio del destinatario. Se il dominio del destinatario è compreso nell'elenco seguente il messaggio viene creato nel linguaggio corrispondente.

.tc
.se
.fi
.pl
.no
.pt
.it
.fr
.de
.xx

Il messaggio è composto utilizzando le seguenti parti:

Il soggetto è scelto fra:

Re: belge
Re: dokumenten
Re: dokumentoida
Re: udokumentowac
Re: dokumentet
Re: original
Re: documento
Re: dokument
Re: document

Il contenuto fra:

mutlu etmek okumak belgili tanimlik belge.
Behaga läsa dokumenten.
Haluta kuulua dokumentoida.
Podobac sie przeczytac ten udokumentowac.
Behage lese dokumentet.
Leia por favor o original.
Legga prego il documento.
Veuillez lire le document.
Bitte lesen Sie das Dokument.
Please read the document.

Il nome dell'allegato:

belge.pif
dokumenten.pif
dokumentoida.pif
udokumentowac.pif
dokumentet.pif
original.pif
documento.pif
dokument.pif
document.pif

Payload

Il paylod del worm è un DoS (Denial of Service) attuato fra il 28 e il 30 Aprile 2004 contro i seguenti siti web:

http://www.nibis.de
http://medinfo.ufl.edu/
http://www.educa.ch

Rilevazione

NetSky.X è rilevato con l'agiornamento rilasciato il 20 Aprile 2004

[FSAV_Database_Version]

Version=2004-04-20_02

Descrizione: Alexey Podrezov & Ero Carrera, 20 Aprile 2004

F-Secure Corporation