W32.NetSky.P

W32.NetSky.P

10:57 | 27.05.2011

Mô tả

Thể loại: worm

Hệ thống bị ảnh hưởng: Windows XP, Windows Me, Windows NT, Windows 2000, 2003 ….
Sử dụng giao
thức SMTP, W32.Netsky.P tự gửi chính nó qua hàng loạt thư đến tất cả các
địa chỉ email thu thập được từ các tập tin với đuôi mở rộng trên ổ đĩa
hệ thống C đến Z nếu có:

. Xml
. Wsh
. Jsp
. Msg
. Oft
. Sht

. Dbx
. TBB
. Adb
. Dhtm
. Cgi
. Shtm

. Uin
. Rtf
. Vbs
. Doc
. Wab
. Asp

. Php
. Txt
. Eml
. Html
. Htm
. Pl

Thông điệp email thường có các tiêu đề sau đây:

Re: Mã hóa Mail
Re: Mở rộng Mail
Re: Tình trạng
Re: Thông báo
Re: SMTP Server
Re: Mail Server
Re: Giao Server

Re: Thất bại
Re: Cảm ơn bạn đã cung cấp
Re: Test
Re: Quản trị
Re: Lỗi tin nhắn
Re: Lỗi
Re: mở rộng hệ thống Mail

Re: Yêu cầu bảo vệ Mail
Re: Bảo vệ hệ thống Mail
Re: Bảo vệ Mail giao hàng
Re: Bảo mật giao hàng
Re: Giao hàng Bảo vệ
Re: Mail xác thực
Re: Secure SMTP

Thông báo có thể là một trong những điều sau:

Vui lòng xem file đính kèm để biết chi tiết
Xin vui lòng đọc các tập tin đính kèm!
Tài liệu của bạn được đính kèm.
Xin vui lòng đọc các tài liệu.
File của bạn được đính kèm.
Tài liệu của bạn được đính kèm.
Vui lòng xác nhận các tài liệu.

Tôi đã nhận được tài liệu của bạn.

Các tài liệu điều chỉnh được đính kèm.

Xin vui lòng đọc các tài liệu quan trọng.
Xem các tập tin.
Yêu cầu tập tin.
Yêu cầu xác thực.
Tài liệu của bạn được gắn vào mail này.
Tôi có kèm theo tài liệu của bạn.
Tài liệu của bạn.
chi tiết của bạn.

Tên file đính kèm có thể là một trong các cách sau:

document05
websites03
game_xxo
your_document

Tiếp theo là một trong những phần mở rộng sau: .Exe, .Pif, .Scr, .Zip
Email mà W32.NetSky.P không gửi thường có đuôi :

"@ Microsof"
"@ Antivi"
"@ Symantec"
"@ Spam"
"@ AVP"
"@ F-secur"
"@ Bitdefender"
"@ Norman"

"@ Mcafee"
"@ Kaspersky"
"@ F-pro"
"@ Norton"
"@ FBI"
"@ Messagel"
"@ Skynet"

"@ Pandasof"
"@ Freeav"
"@ Sophos"
"Ntivir"
"@ Viruslis"
"Noreply @"
"spam@"

"reports@"

W32.Netsky.P
cố gắng khai thác các vấn đề và mô tả như là Microsoft IE để thực hiện
các tập tin đính kèm ngay khi email được xem.
Khi tập tin đính kèm được thực hiện, nó tạo ra các mutex sau đây để chỉ một cá thể của W32.Netsky.P sẽ thực hiện:
_-OO] XX |-S-k-y-N-e-t-| XX [Oo-_
Sau đó nó tạo ra các bản sao của chính nó:
% Windir% \ FVProtect.exe
% Windir% \ userconfig9x.dll
Các tập tin .tmp cũng được tạo ra:
% Windir% \ base64.tmp : định dạng mã hóa-phiên bản của file thực thi
% Windir% \ zip1.tmp: định dạng mã hóa-phiên bản của sâu trong kho lưu trữ zip
% Windir% \ zip2.tmp: định dạng mã hóa-phiên bản của sâu trong kho lưu trữ zip
% Windir% \ zip3.tmp: định dạng mã hóa-phiên bản của sâu trong kho lưu trữ zip
% Windir% \ zipped.tmp: Worm trong kho lưu trữ zip
Tiếp theo W32.Netsky.P sẽ tạo ra các mục đăng ký để nó thực hiện mỗi khi Windows khởi động:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ "Norton Antivirus AV" = "% Windir% \ FVProtect.exe"
Sau đó, xóa các giá trị sau:

Explorer
System.
msgsvr32

winupd.exe
direct.exe
jijbl

Services
Security

từ các khóa registry:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run

Nó sẽ xóa các giá trị:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunServices

Explorer
au.exe
direct.exe
d3dupdate.exe

OLE
gouday.exe
rate.exe
Taskmon
Windows Services Host

sysmon.exe
srate.exe
ssate.exe
winupd.exe

Từ khóa registry:
HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
sẽ xóa các khóa registry sau đây:
HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersionExplorer \ PINF
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ WksPatch
HKEY_CLASSES_ROOT \ CLSID \ CLSID {E6FB5E20-DE35-11CF-9C87-00AA005127ED} \ InProcServer32
W32.NetSky.P sẽ quét ổ cứng. Nếu một tìm thấy thư mục chứa các chuỗi kí tự sau:

shared files

kazaa

mule

donkey

morpheus

lime

bear

icq

shar

upload

http

htdocs

ftp

download

my shared folder

W32.NetSky.P sẽ copy bản sao các loại sâu vào thư mục đó với tên giống trong bảng sau:

Và còn nhiều tên file khác nữa….

"Kazaa Lite 4,0 new.exe"
"Britney Spears Sexy archive.doc.exe"
"Kazaa new.exe"
"Britney Spears porn.jpg.exe"
"Harry Potter.book.doc.exe"
"Britney xxx.jpg.exe sex"
"Harry Potter 1-6 book.txt.exe"
"Britney Spears blowjob.jpg.exe"
"Harry Potter e book.doc.exe"
"Britney Spears cumshot.jpg.exe"
"Harry Potter.doc.exe"
"Britney Spears fuck.jpg.exe"
"Harry Potter game.exe"
"Britney Spears.jpg.exe"
"Harry Potter 5.mpg.exe"
"Adobe Premiere 10.exe"
"Adobe Photoshop 10 full.exe"
"Screensaver new.scr"
"Porno Screensaver britney.scr"
"Dark Angels new.pif"
"XXX hardcore pics.jpg.exe"
"Microsoft Office 2003 Crack best.exe"
"Serials edition.txt.exe"
"Screensaver2.scr"
"Full album all.mp3.pif"
"Ahead Nero 8.exe"
"Netsky soul code.scr"
"E-Book Archive2.rtf.exe"
"Doom.exe"

"Britney Spears và Eminem porn.jpg.exe"
"Matrix.mpg.exe"
"Britney Spears archive.doc.ex" ...
"Britney Spears album.mp3.exe"
"Eminem.mp3.exe"
"Britney Spears.mp3.exe"
"Eminem Song văn bản archive.doc.exe"
"Eminem Sexy archive.doc.exe"
"Eminem album.mp3.exe"
"Eminem Spears porn.jpg.exe"
"Ringtones.mp3.exe"
"Eminem xxx.jpg.exe sex"
"Ringtones.doc.exe"
"Eminem blowjob.jpg.exe"
"Altkins Diet.doc.exe"
"Eminem Poster.jpg.exe"
"Mỹ Idol.doc.exe"
"Cloning.doc.exe"
"Saddam Hussein.jpg.exe"
"Arnold Schwarzenegger.jpg.exe"
"Windows 2003 crack.exe"
"Windows XP crack.exe"
"Adobe Photoshop 10 crack.exe"
"Microsoft WinXP Crack full.exe"
"Teen Porn 15.jpg.pif"
" new.doc.exe"
" 2004.doc.exe”

Do
dòng virus này không ngừng có phiên bản mới nên cấu trúc và cách xâm
nhập vào máy tính có thể khác đi. Nhưng nhìn chung là dựa vào cách phổ
biến này..

Các
file được sinh ra có tên khác nhau.. chúng không đơn thuần là một loại
nữa mà mang bên trong các file đó còn kèm theo các loại khác. Hoạc bị
nhiễm loại virus khác.

Cách phòng chống

- Sử dụng phẩn mềm diệt virus được update thường xuyên

- Sử dụng tường lửa để chặn tất cả các kết nối từ Internet đến các dịch vụ mà không công khai.

- Theo mặc định, bạn nên từ chối tất cả các kết nối vào và chỉ cho phép dịch vụ
- Đảm bảo
rằng các chương trình và người sử dụng của máy tính sử dụng mức thấp
nhất của các đặc quyền cần thiết để hoàn thành nhiệm vụ.

- Khi nhập mật khẩu gốc hoặc UAC, đảm bảo rằng các chương trình yêu cầu cấp quyền truy cập là một ứng dụng hợp pháp.
- Vô
hiệu hoá AutoPlay để ngăn chặn sự phát động tự động của các tập tin thực
thi trên các ổ đĩa mạng di động, và ngắt kết nối các ổ đĩa khi không
cần thiết. Nếu ghi là không cần thiết, kích hoạt chế độ chỉ đọc nếu tùy chọn có sẵn.
- Tắt chia sẻ tập tin, nếu không cần thiết. Nếu chia sẻ tập tin là cần thiết thì ACL sử dụng và bảo vệ mật khẩu để hạn chế truy cập. Vô hiệu hoá ẩn danh truy cập vào thư mục chia sẻ. Cấp quyền truy cập tài khoản người dùng với các mật khẩu mạnh vào các thư mục chia sẻ đó.
- Tắt và loại bỏ các dịch vụ không cần thiết. Theo mặc định, nhiều hệ điều hành cài đặt các dịch vụ phụ trợ mà không phải là quan trọng. Những dịch vụ này là con đường của cuộc tấn công

- Luôn luôn cập nhật các bản Update, đặc biệt là trên các máy tính công cộng và dịch vụ.

- Máy chủ có thể truy cập thông qua tường lửa, chẳng hạn như HTTP, FTP, mail và dịch vụ DNS.
Cấu
hình máy chủ email của bạn để ngăn chặn bỏ email mà chứa đựng những tập
tin mà thường được sử dụng để phát tán các mối đe dọa, chẳng hạn như
vbs,. Bat,.. Exe,. Pif và scr tập tin..

W32.NetSky.P

W32.NetSky.P

W32.NetSky.P :: Comments