Kandu.dk - W32.NetSky-D.worm alarm


/ Forside/ Teknologi / Operativsystemer / MS Windows / Tip

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

MS Windows

#	Navn	Point
1	Klaudi	75853
2	o.v.n.	67550
3	refi	58409
4	tedd	45557
5	Manse9933	45149
6	molokyle	40687
7	miritdk	38357
8	briani	27239
9	BjarneD	26414
10	pallebhan..	24310

W32.NetSky-D.worm alarm
polles har modtaget -5 point for dette tip
Fra : Er ikke online

polles

Vist : 760 gange
Halvanden stjerne

Dato : 01-03-04 13:41

Navn: W32.NetSky-D.worm
Alias:
Udsendt: 01-03-2004 13:29:16
Type: Worm
Spredning: Medium
Ødelæggelse: Lav
Sårbare klienter: Windows 2000
Windows 95
Windows 98
Windows ME
Windows XP
Vedhæftede filer: your_website.pif
your_product.pif
your_letter.pif
your_archive.pif
your_text.pif
your_bill.pif
your_details.pif
document_word.pif
document_excel.pif
my_details.pif
all_document.pif
application.pif
mp3music.pif
yours.pif
document_4351.pif
your_file.pif
message_details.pif
your_picture.pif
document_full.pif
message_part2.pif
document.pif
your_document.pif
Størrelse: ~17 KB
Disinfektion:
Opdaget: 01-03-2004 13:20:33

Beskrivelse:
W32.NetSky-D.worm, er en variant i Netsky Familien. Koden er skrevet i
Microsoft Visual C++, pakket med Petite og fylder 17424 bytes. I lighed
med tidligere versioner af denne orm indeholder den sin egen SMTP
server, som den anvender til at videresende sig fra inficerede systemer
til andre modtagere.

Følgende kan ske ved inficering:

Kraftig udsendelse af virus inficeret e-mails fra det inficerede
system.

Ormen opretter følgende filer på det inficerede system:

[%windowsmappen%]/WINLOGON.EXE (en kopi af ormen).

Ormen indsætter følgende i registreringsdatabasen:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
ICQ Net="[%windows mappen%]\winlogon.exe -stealth"

Beskrivelse: Dette får ormen til at starte sammen med windows.

Teknisk Beskrivelse:

En email indeholdende ormen sammensættes ud fra følgende:

Fra: [En spoofet/forfalsket adresse]
Emne: [en af følgende kombinationer]

Re: Your website
Re: Your product
Re: Your letter
Re: Your archive
Re: Your text
Re: Your bill
Re: Your details
Re: My details
Re: Word file
Re: Excel file
Re: Details
Re: Approved
Re: Your software
Re: Your music
Re: Here
Re: Re: Re: Your document
Re: Hello
Re: Hi
Re: Re: Message
Re: Your picture
Re: Here is the document
Re: Your document
Re: Thanks!
Re: Re: Thanks!
Re: Re: Document
Re: Document

Indhold: [en af følgende kombinationer]

Your file is attached.
Please read the attached file.
Please have a look at the attached file.
See the attached file for details.
Here is the file.
Your document is attached.

Vedhæftet: [en af følgende kombinationer]

your_website.pif
your_product.pif
your_letter.pif
your_archive.pif
your_text.pif
your_bill.pif
your_details.pif
document_word.pif
document_excel.pif
my_details.pif
all_document.pif
application.pif
mp3music.pif
yours.pif
document_4351.pif
your_file.pif
message_details.pif
your_picture.pif
document_full.pif
message_part2.pif
document.pif
your_document.pif

I forbindelse med ormens mailingrutine foretager ormen et DNS opslag på
følgende IP adresser:
212.44.160.8, 195.185.185.195, 151.189.13.35, 213.191.74.19,
193.189.244.205, 145.253.2.171, 193.141.40.42, 194.25.2.134,
194.25.2.133, 194.25.2.132, 194.25.2.131, 193.193.158.10, 212.7.128.165,
212.7.128.162, 193.193.144.12, 217.5.97.137, 195.20.224.234,
194.25.2.130, 194.25.2.129, 212.185.252.136, 212.185.253.70,
212.185.252.73, 62.155.255.16.

W32.NetSky-D.worm sletter ligesom forgængeren, Mydoom fra inficerede
systemer. Det sker ved at dræbe programmet og slette forskellige værdier
i registreringsdatabasen som oprettes af Mydoom ormen.

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]=
d3dupdate.exe, au.exe, OLE, Windows Services Host

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]=
msgsvr32, DELETE ME, service, Sentry, Windows Services Host.

[HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcSe
rver32]=
[%windows systemappen%]\Webcheck.dll"

samt

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\PINF]
[HKLM\System\CurrentControlSet\Services\WksPatch]

Men derudover dræber denne variant også tidligere familiemedlemer. Både
NetSky A og B vil blive slettet fra systemet ligesom MiMail-T.

Ormen indeholder følgende tekststreng som aldrig vises:
be aware! Skynet.cz - -->AntiHacker Crew<--

Fjernelse:
Stop processen: winlogon.exe i joblisten.

Slet følgende fil: %windows mappen%\winlogon.exe

Vælg start -> kør -> skriv: regedit -> tryk ok.
Find nøglen:
HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run
Og slet: "ICQ Net"

Genstart herefter computeren.

Bedømmelse

Fra : Er ikke online

arlet

Dato : 01-03-04 13:45

Bedømmelse

Fra : Er ikke online

molokyle

Dato : 01-03-04 13:57

Bedømmelse

Fra : Er ikke online

gamle61

Dato : 01-03-04 14:05

Bedømmelse

Fra : Er ikke online

Dato : 01-03-04 14:08

Bedømmelse

Fra : Er ikke online

Franksp

Dato : 01-03-04 14:13

Du har følgende muligheder

Eftersom du ikke er logget ind i systemet, kan du ikke lave en bedømmelse til dette tip.

Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.

Søg

Reklame

Statistik

Spørgsmål :	177417
Tips :	31962
Nyheder :	719565
Indlæg :	6407865
Brugere :	218876

Månedens bedste

Årets bedste

Sidste års bedste