Közepesen veszélyes a Netsky.ag féreg

A McAfee vírusszakértői csoportja már felfedezése napján "közepesen veszélyes" kategóriába emelte a W32/Netsky.ag@MM férget. A közlemény szerint az új variáns egyaránt veszélyt jelent az otthoni és a vállalati felhasználók számára.

A Netsky.ag egyik szembetűnő sajátsága, hogy elindulásakor megjelenít egy üzenetet "File corrupted replace this!" ("Adatállomány megrongálódott, cseréld ki!") szöveggel. Ha azonban ez az üzenet megjelenik monitorunkon, már megfertőződött a gépünk, mivel rákattintottunk a virusküldemény csatolmányára és ezzel beindítottuk azt. Az automatikus vezérléshez jutáshoz a közel 32 kB méretű féregprogram bemásolja magát MsnMsgrs.exe néven a Windows könyvtárába, és egy erre mutató változót hoz létre. Ezzel végezve számos további másolatot is készít saját kódjáról a Windows könyvtárában, mindegyiket ZIP kiterjesztéssel.

A W32/Netsky.ag@MM féreg is tartalmaz egy saját SMTP levelező motort, amellyel - hamis feladót feltüntetve - továbbküldi magát. Ehhez a címeket az áldozatul esett számítógép .adb, .asp, .dbx, .doc, .eml, . htm, .html, .oft, .php, .pl, .rtf, sht, .tbb, .txt, .uin, és .vbs kiterjesztésű fájlokból gyűjti be. Az így megszerzett email címeket nem csupán a címzéshez, de a feladó meghamisításához is felhasználja. A féreg által elküldött fertőzött üzenetek véletlenszerűen választott portugál (!) nyelvű szöveget tartalmazó tárgymezővel mennek ki. E szövegek a féregkódban megtalálhatók.

A levéltörzs a levél tárgyához hasonlóan szintén egysoros, portugál nyelvű, véletlenszerűen kiválasztott szövegekből áll, amelyeket a féreg saját kódjából emel át. A fertőzött levelek .pif, .com, .scr, .bat, vagy .zip kiterjesztésű csatolmányokat hordoznak, melyek fájlneve is egy, a féregkódban megtalálható listából származik.

A féreg a terjedéshez az elektronikus levelezésen túl a helyi hálózatokon, és peer-to-peer rendszereken keresztül is terjed. A féreg bemásolja magát minden olyan helyi könyvtárba, melynek nevében szerepel a share vagy sharing szövegrész, a hálózati megosztásokba, és P2P megosztott folderekbe. Amikor ezt végzi, akkor .scr, .pif, és .exe kiterjesztéssel másolja át a féregkódot. Az ehhez alkalmazott fájlnevek szintén a féregkódból származnak. Megnyitott megosztásokkal nem foglalkozik.

A féreg eltávolítása manuálisan is megoldható. A számítógépet ehhez csökkentett üzemmód-ban kell újraindítani, majd törölni kell a Windows könyvtárából a fent említett MsnMsgrs.exe fájlt. A munka ezzel azonban még nem ért véget, mivel a Registry-ben is el kell végezni a féregprogramot indító változó törlését a HKLM\Software\Microsoft\Windows\CurrentVersion \Run kulcs alatt (ez az MsnMsgr változó törlését jelenti). A rendszert ezután normál üzemmódban indítjuk, majd felkutatjuk és töröljük a féregprogram összes másolatát, amelyeket a Windows könyvtárában, valamint a megosztott helyi, hálózati és P2P könyvtárakban rejtett el.