Đăng Nhập
Tìm kiếm
Top posting users this month
No user |
Thống Kê
Hiện có 1 người đang truy cập Diễn Đàn, gồm: 0 Thành viên, 0 Thành viên ẩn danh và 1 Khách viếng thăm Không
Số người truy cập cùng lúc nhiều nhất là 58 người, vào ngày Wed Aug 02, 2017 7:50 pm
W32.NetSky.P
SeHTF :: Câu lạc bộ An ninh mạng for Security 2TVN :: Góc nhìn hệ thống by Security 2TVN :: An ninh máy tính by Security 2TVN :: Thông tin cập nhật Top Virus by Security 2TVN :: Top 100 Virus
Trang 1 trong tổng số 1 trang
15062011
W32.NetSky.P
W32.NetSky.P
10:57 | 27.05.2011
Mô tả
Thể loại: worm
Hệ thống bị ảnh hưởng: Windows XP, Windows Me, Windows NT, Windows 2000, 2003 ….
Sử dụng giao
thức SMTP, W32.Netsky.P tự gửi chính nó qua hàng loạt thư đến tất cả các
địa chỉ email thu thập được từ các tập tin với đuôi mở rộng trên ổ đĩa
hệ thống C đến Z nếu có:
. Xml . Wsh . Jsp . Msg . Oft . Sht | . Dbx . TBB . Adb . Dhtm . Cgi . Shtm | . Uin . Rtf . Vbs . Doc . Wab . Asp | . Php . Txt . Eml . Html . Htm . Pl |
Thông điệp email thường có các tiêu đề sau đây:
Re: Mã hóa Mail Re: Mở rộng Mail Re: Tình trạng Re: Thông báo Re: SMTP Server Re: Mail Server Re: Giao Server | Re: Thất bại Re: Cảm ơn bạn đã cung cấp Re: Test Re: Quản trị Re: Lỗi tin nhắn Re: Lỗi Re: mở rộng hệ thống Mail | Re: Yêu cầu bảo vệ Mail Re: Bảo vệ hệ thống Mail Re: Bảo vệ Mail giao hàng Re: Bảo mật giao hàng Re: Giao hàng Bảo vệ Re: Mail xác thực Re: Secure SMTP |
Thông báo có thể là một trong những điều sau:
Vui lòng xem file đính kèm để biết chi tiết Xin vui lòng đọc các tập tin đính kèm! Tài liệu của bạn được đính kèm. Xin vui lòng đọc các tài liệu. File của bạn được đính kèm. Tài liệu của bạn được đính kèm. Vui lòng xác nhận các tài liệu. Tôi đã nhận được tài liệu của bạn. Các tài liệu điều chỉnh được đính kèm. | Xin vui lòng đọc các tài liệu quan trọng. Xem các tập tin. Yêu cầu tập tin. Yêu cầu xác thực. Tài liệu của bạn được gắn vào mail này. Tôi có kèm theo tài liệu của bạn. Tài liệu của bạn. chi tiết của bạn. |
Tên file đính kèm có thể là một trong các cách sau:
document05 websites03 game_xxo your_document |
Tiếp theo là một trong những phần mở rộng sau: .Exe, .Pif, .Scr, .Zip
Email mà W32.NetSky.P không gửi thường có đuôi :
"@ Microsof" "@ Antivi" "@ Symantec" "@ Spam" "@ AVP" "@ F-secur" "@ Bitdefender" "@ Norman" | "@ Mcafee" "@ Kaspersky" "@ F-pro" "@ Norton" "@ FBI" "@ Messagel" "@ Skynet" | "@ Pandasof" "@ Freeav" "@ Sophos" "Ntivir" "@ Viruslis" "Noreply @" "spam@" "reports@" |
W32.Netsky.P
cố gắng khai thác các vấn đề và mô tả như là Microsoft IE để thực hiện
các tập tin đính kèm ngay khi email được xem.
Khi tập tin đính kèm được thực hiện, nó tạo ra các mutex sau đây để chỉ một cá thể của W32.Netsky.P sẽ thực hiện:
_-OO] XX |-S-k-y-N-e-t-| XX [Oo-_
Sau đó nó tạo ra các bản sao của chính nó:
% Windir% \ FVProtect.exe
% Windir% \ userconfig9x.dll
Các tập tin .tmp cũng được tạo ra:
% Windir% \ base64.tmp : định dạng mã hóa-phiên bản của file thực thi
% Windir% \ zip1.tmp: định dạng mã hóa-phiên bản của sâu trong kho lưu trữ zip
% Windir% \ zip2.tmp: định dạng mã hóa-phiên bản của sâu trong kho lưu trữ zip
% Windir% \ zip3.tmp: định dạng mã hóa-phiên bản của sâu trong kho lưu trữ zip
% Windir% \ zipped.tmp: Worm trong kho lưu trữ zip
Tiếp theo W32.Netsky.P sẽ tạo ra các mục đăng ký để nó thực hiện mỗi khi Windows khởi động:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ "Norton Antivirus AV" = "% Windir% \ FVProtect.exe"
Sau đó, xóa các giá trị sau:
Explorer System. msgsvr32 | winupd.exe direct.exe jijbl | Services Security |
từ các khóa registry:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
Nó sẽ xóa các giá trị:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunServices
Explorer au.exe direct.exe d3dupdate.exe | OLE gouday.exe rate.exe Taskmon Windows Services Host | sysmon.exe srate.exe ssate.exe winupd.exe |
Từ khóa registry:
HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
sẽ xóa các khóa registry sau đây:
HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersionExplorer \ PINF
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ WksPatch
HKEY_CLASSES_ROOT \ CLSID \ CLSID {E6FB5E20-DE35-11CF-9C87-00AA005127ED} \ InProcServer32
W32.NetSky.P sẽ quét ổ cứng. Nếu một tìm thấy thư mục chứa các chuỗi kí tự sau:
shared files kazaa mule donkey morpheus | lime bear icq shar upload | http htdocs ftp download my shared folder |
W32.NetSky.P sẽ copy bản sao các loại sâu vào thư mục đó với tên giống trong bảng sau:
Và còn nhiều tên file khác nữa….
"Kazaa Lite 4,0 new.exe" "Britney Spears Sexy archive.doc.exe" "Kazaa new.exe" "Britney Spears porn.jpg.exe" "Harry Potter.book.doc.exe" "Britney xxx.jpg.exe sex" "Harry Potter 1-6 book.txt.exe" "Britney Spears blowjob.jpg.exe" "Harry Potter e book.doc.exe" "Britney Spears cumshot.jpg.exe" "Harry Potter.doc.exe" "Britney Spears fuck.jpg.exe" "Harry Potter game.exe" "Britney Spears.jpg.exe" "Harry Potter 5.mpg.exe" "Adobe Premiere 10.exe" "Adobe Photoshop 10 full.exe" "Screensaver new.scr" "Porno Screensaver britney.scr" "Dark Angels new.pif" "XXX hardcore pics.jpg.exe" "Microsoft Office 2003 Crack best.exe" "Serials edition.txt.exe" "Screensaver2.scr" "Full album all.mp3.pif" "Ahead Nero 8.exe" "Netsky soul code.scr" "E-Book Archive2.rtf.exe" "Doom.exe" | "Britney Spears và Eminem porn.jpg.exe" "Matrix.mpg.exe" "Britney Spears archive.doc.ex" ... "Britney Spears album.mp3.exe" "Eminem.mp3.exe" "Britney Spears.mp3.exe" "Eminem Song văn bản archive.doc.exe" "Eminem Sexy archive.doc.exe" "Eminem album.mp3.exe" "Eminem Spears porn.jpg.exe" "Ringtones.mp3.exe" "Eminem xxx.jpg.exe sex" "Ringtones.doc.exe" "Eminem blowjob.jpg.exe" "Altkins Diet.doc.exe" "Eminem Poster.jpg.exe" "Mỹ Idol.doc.exe" "Cloning.doc.exe" "Saddam Hussein.jpg.exe" "Arnold Schwarzenegger.jpg.exe" "Windows 2003 crack.exe" "Windows XP crack.exe" "Adobe Photoshop 10 crack.exe" "Microsoft WinXP Crack full.exe" "Teen Porn 15.jpg.pif" " new.doc.exe" " 2004.doc.exe” |
Do
dòng virus này không ngừng có phiên bản mới nên cấu trúc và cách xâm
nhập vào máy tính có thể khác đi. Nhưng nhìn chung là dựa vào cách phổ
biến này..
Các
file được sinh ra có tên khác nhau.. chúng không đơn thuần là một loại
nữa mà mang bên trong các file đó còn kèm theo các loại khác. Hoạc bị
nhiễm loại virus khác.
Cách phòng chống
- Sử dụng phẩn mềm diệt virus được update thường xuyên
- Sử dụng tường lửa để chặn tất cả các kết nối từ Internet đến các dịch vụ mà không công khai.
- Theo mặc định, bạn nên từ chối tất cả các kết nối vào và chỉ cho phép dịch vụ
- Đảm bảo
rằng các chương trình và người sử dụng của máy tính sử dụng mức thấp
nhất của các đặc quyền cần thiết để hoàn thành nhiệm vụ.
- Khi nhập mật khẩu gốc hoặc UAC, đảm bảo rằng các chương trình yêu cầu cấp quyền truy cập là một ứng dụng hợp pháp.
- Vô
hiệu hoá AutoPlay để ngăn chặn sự phát động tự động của các tập tin thực
thi trên các ổ đĩa mạng di động, và ngắt kết nối các ổ đĩa khi không
cần thiết. Nếu ghi là không cần thiết, kích hoạt chế độ chỉ đọc nếu tùy chọn có sẵn.
- Tắt chia sẻ tập tin, nếu không cần thiết. Nếu chia sẻ tập tin là cần thiết thì ACL sử dụng và bảo vệ mật khẩu để hạn chế truy cập. Vô hiệu hoá ẩn danh truy cập vào thư mục chia sẻ. Cấp quyền truy cập tài khoản người dùng với các mật khẩu mạnh vào các thư mục chia sẻ đó.
- Tắt và loại bỏ các dịch vụ không cần thiết. Theo mặc định, nhiều hệ điều hành cài đặt các dịch vụ phụ trợ mà không phải là quan trọng. Những dịch vụ này là con đường của cuộc tấn công
- Luôn luôn cập nhật các bản Update, đặc biệt là trên các máy tính công cộng và dịch vụ.
- Máy chủ có thể truy cập thông qua tường lửa, chẳng hạn như HTTP, FTP, mail và dịch vụ DNS.
Cấu
hình máy chủ email của bạn để ngăn chặn bỏ email mà chứa đựng những tập
tin mà thường được sử dụng để phát tán các mối đe dọa, chẳng hạn như
vbs,. Bat,.. Exe,. Pif và scr tập tin..
Admin- Chủ Tịch Se S2T
- Con Giáp :
Tuổi giáp Trung Hoa :
Tổng số bài gửi : 1481
Điểm Se S2T : 88055
Sinh Nhật : 03/11/1990
Tham gia ngày : 27/08/2009
Tuổi : 33
Đến từ : Äồng Há»›i City
Sở thích : Máy tÃnh, Soft, AV....
Tính hài hước : Bình thÆ°á»ng
Huy chương
Sức mạnh:
(100/100)
Điểm SeS2T:
(50/50)
Permissions in this forum:
Bạn không có quyền trả lời bài viết