/ Forside/ Teknologi / Operativsystemer / MS Windows / Tip
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
MS Windows
#NavnPoint
Klaudi 76474
o.v.n. 67550
refi 58409
tedd 45557
Manse9933 45149
molokyle 40687
miritdk 38357
briani 27239
BjarneD 26414
10  pallebhan.. 24310
W32.NetSky-D.worm alarm
polles har modtaget -5 point for dette tip
Fra : polles
Vist : 806 gange

Dato : 01-03-04 13:41

Navn: W32.NetSky-D.worm
Alias:
Udsendt: 01-03-2004 13:29:16
Type: Worm
Spredning: Medium
Ødelæggelse: Lav
Sårbare klienter: Windows 2000
Windows 95
Windows 98
Windows ME
Windows XP
Vedhæftede filer: your_website.pif
your_product.pif
your_letter.pif
your_archive.pif
your_text.pif
your_bill.pif
your_details.pif
document_word.pif
document_excel.pif
my_details.pif
all_document.pif
application.pif
mp3music.pif
yours.pif
document_4351.pif
your_file.pif
message_details.pif
your_picture.pif
document_full.pif
message_part2.pif
document.pif
your_document.pif
Størrelse: ~17 KB
Disinfektion:
Opdaget: 01-03-2004 13:20:33

Beskrivelse:
W32.NetSky-D.worm, er en variant i Netsky Familien. Koden er skrevet i
Microsoft Visual C++, pakket med Petite og fylder 17424 bytes. I lighed
med tidligere versioner af denne orm indeholder den sin egen SMTP
server, som den anvender til at videresende sig fra inficerede systemer
til andre modtagere.

Følgende kan ske ved inficering:

Kraftig udsendelse af virus inficeret e-mails fra det inficerede
system.

Ormen opretter følgende filer på det inficerede system:

[%windowsmappen%]/WINLOGON.EXE (en kopi af ormen).

Ormen indsætter følgende i registreringsdatabasen:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
ICQ Net="[%windows mappen%]\winlogon.exe -stealth"

Beskrivelse: Dette får ormen til at starte sammen med windows.

Teknisk Beskrivelse:

En email indeholdende ormen sammensættes ud fra følgende:

Fra: [En spoofet/forfalsket adresse]
Emne: [en af følgende kombinationer]

Re: Your website
Re: Your product
Re: Your letter
Re: Your archive
Re: Your text
Re: Your bill
Re: Your details
Re: My details
Re: Word file
Re: Excel file
Re: Details
Re: Approved
Re: Your software
Re: Your music
Re: Here
Re: Re: Re: Your document
Re: Hello
Re: Hi
Re: Re: Message
Re: Your picture
Re: Here is the document
Re: Your document
Re: Thanks!
Re: Re: Thanks!
Re: Re: Document
Re: Document

Indhold: [en af følgende kombinationer]

Your file is attached.
Please read the attached file.
Please have a look at the attached file.
See the attached file for details.
Here is the file.
Your document is attached.

Vedhæftet: [en af følgende kombinationer]

your_website.pif
your_product.pif
your_letter.pif
your_archive.pif
your_text.pif
your_bill.pif
your_details.pif
document_word.pif
document_excel.pif
my_details.pif
all_document.pif
application.pif
mp3music.pif
yours.pif
document_4351.pif
your_file.pif
message_details.pif
your_picture.pif
document_full.pif
message_part2.pif
document.pif
your_document.pif

I forbindelse med ormens mailingrutine foretager ormen et DNS opslag på
følgende IP adresser:
212.44.160.8, 195.185.185.195, 151.189.13.35, 213.191.74.19,
193.189.244.205, 145.253.2.171, 193.141.40.42, 194.25.2.134,
194.25.2.133, 194.25.2.132, 194.25.2.131, 193.193.158.10, 212.7.128.165,
212.7.128.162, 193.193.144.12, 217.5.97.137, 195.20.224.234,
194.25.2.130, 194.25.2.129, 212.185.252.136, 212.185.253.70,
212.185.252.73, 62.155.255.16.

W32.NetSky-D.worm sletter ligesom forgængeren, Mydoom fra inficerede
systemer. Det sker ved at dræbe programmet og slette forskellige værdier
i registreringsdatabasen som oprettes af Mydoom ormen.

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]=
d3dupdate.exe, au.exe, OLE, Windows Services Host

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]=
msgsvr32, DELETE ME, service, Sentry, Windows Services Host.

[HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcSe
rver32]=
[%windows systemappen%]\Webcheck.dll"

samt

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\PINF]
[HKLM\System\CurrentControlSet\Services\WksPatch]

Men derudover dræber denne variant også tidligere familiemedlemer. Både
NetSky A og B vil blive slettet fra systemet ligesom MiMail-T.

Ormen indeholder følgende tekststreng som aldrig vises:
be aware! Skynet.cz - -->AntiHacker Crew<--


Fjernelse:
Stop processen: winlogon.exe i joblisten.

Slet følgende fil: %windows mappen%\winlogon.exe

Vælg start -> kør -> skriv: regedit -> tryk ok.
Find nøglen:
HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run
Og slet: "ICQ Net"

Genstart herefter computeren.


 
 
Bedømmelse

Fra : arlet


Dato : 01-03-04 13:45



Bedømmelse

Fra : molokyle


Dato : 01-03-04 13:57



Bedømmelse

Fra : gamle61


Dato : 01-03-04 14:05



Bedømmelse

Fra : dk


Dato : 01-03-04 14:08



Bedømmelse

Fra : Franksp


Dato : 01-03-04 14:13



Du har følgende muligheder
Eftersom du ikke er logget ind i systemet, kan du ikke lave en bedømmelse til dette tip.

Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.
Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408926
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste