I-Worm.Netsky.d

Вирус-червь. Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам.

Червь является приложением Windows (PE EXE-файл), имеет размер около 17424 байт (упакован Petite, размер распакованного файла - около 27K), написан на Microsoft Visual C++.

Содержимое зараженных писем
Заголовок (выбирается произвольным образом):
Re: Approved
Re: Details
Re: Excel file
Re: Hello
Re: Here
Re: Here is the document
Re: Hi
Re: My details
Re: Re: Document
Re: Re: Message
Re: Re: Re: Your document
Re: Re: Thanks!
Re: Thanks!
Re: Word file
Re: Your archive
Re: Your bill
Re: Your details
Re: Your document
Re: Your letter
Re: Your music
Re: Your picture
Re: Your product
Re: Your software
Re: Your text
Re: Your website
Текст (выбирается произвольным образом):
Here is the file.
Please have a look at the attached file
Please read the attached file.
See the attached file for details.
Your document is attached.
Your file is attached.
Имя вложения (выбирается произвольным образом):
all_document.pif
application.pif
document.pif
document_4351.pif
document_excel.pif
document_full.pif
document_word.pif
message_details.pif
message_part2.pif
mp3music.pif
my_details.pif
your_archive.pif
your_bill.pif
your_details.pif
your_document.pif
your_file.pif
your_letter.pif
your_product.pif
your_text.pif
your_website.pif
yours.pif
Червь активизируется, если пользователь сам запускает зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.
Инсталляция
При инсталляции червь копирует себя с именем "winlogon.exe" в каталог Windows и регистрирует этот файл в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Ru
n]
Рассылка писем
Червь сканирует файлы с расширениями adb, asp, dbx, doc, eml, htm, html, msg, oft, php, pl, rtf, sht, tbb, txt, uin, vbs, wab, ищет в них адреса электронной почты и рассылает свои копии по найденным адресам. Для отправки писем червь использует собственную SMTP-библиотеку.
Пытается рассылать себя через следующие SMTP-серверы:

145.253.2.171
151.189.13.35
193.141.40.42
193.189.244.205
193.193.144.12
193.193.158.10
194.25.2.129
194.25.2.129
194.25.2.130
194.25.2.131
194.25.2.132
194.25.2.133
194.25.2.134
195.185.185.195
195.20.224.234
212.185.252.136
212.185.252.73
212.185.253.70
212.44.160.8
212.7.128.162
212.7.128.165
213.191.74.19
217.5.97.137
62.155.255.16
Удаление червя Mydoom
Аналогично некоторым другим червям, данный червь содержит в себе функцию "удаления" с зараженной машины червя Mydoom. Для этого он ищет в системном реестре Windows ключи "Explorer" и "Taskmon" в следующих ветках:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru
n\]
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru
n\]
а также удаляет ключ:
[HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]
Прочее
Червь удаляет из системного реестра Windows ключи "KasperskyAv" и "system.".



ОСТОРОЖНО НАРОД

__________________
В следующий раз будет меньше крови, верь мне.

Говорят, реки есть слезы страдавших и порой реки выходят из берегов, просто кто-то больше страдал..
Синоптики же говорят, что скоро океаны выйдут из берегов и даже не знают почему...(c)

Адрес поста | Один пост | Сообщить модератору | IP: Logged

Ого!.... Спасибо за предупреждение...



Out of char: прикреплю-ка я эту темку для верности...

__________________
i want to break free... ©

Адрес поста | Один пост | Сообщить модератору | IP: Logged

Опаньки! Мне вчера пришло какое-то письмо с приаттаченым zip-файлом. Хорошо, что я его не открыла..

__________________
Эх, тройка, птица тройка, кто тебя выдумал?

Принципиально не спорю с Уивингом.

Адрес поста | Один пост | Сообщить модератору | IP: Logged

Ребята, неужели вы и правда открываете вложения в незнакомых письмах?!

__________________

LOST CARRIER SIGNAL

Адрес поста | Один пост | Сообщить модератору | IP: Logged

Хех, я даже если письмо пришло от знакомого и он только что сказал что мне его послал, всё-равно его касперским проверяю . Открывать неизвестные аттачи - ламерство

__________________
Керриган - душка!
Therion - сила!

"я... я просто обожаю агентов." © Ангел aka Inity

[Другая Сторона]

Адрес поста | Один пост | Сообщить модератору | IP: Logged

Цитата:

---

Trinity:
Ребята, неужели вы и правда открываете вложения в незнакомых письмах?!

---

Нет конечно. Это ж кем надо быть...

Поизучала фразы, которые пишутся в письмах... Неужели на такое можно купиться?


Out of char: Представляете, сейчас читаю дневники, у меня много всего открыто, и вдруг комп уходит в перезагрузку. Я, ессно, дожидаюсь загрузки, открываю диспетчер задач и вижу там файл winlogon.exe... Думаю, что за хрень я вижу, зову папу, он говорит, что:
1) Процесс законный
2) AVP мы уже сегодня обновляли
3) Аутглюк никто не открывал, бояться нечего
4) Посмотрел реестр и ничего незаконного там не нашёл

Можно вздохнуть с облегчением... Просто меня уже один раз так подсадили на вирь, теперь вот дёргаюсь...

__________________
i want to break free... ©

Адрес поста | Один пост | Сообщить модератору | IP: Logged

А вто что пришло Смиту! Умереть можно!


To: smith@lozhki.net
От: administration@lozhki.net
Date: 05.03.2004, 11:01:39
Subject: Important notify about your e-mail account.

Dear user of Lozhki.net,

Our main mailing server will be temporary unavaible for next two days,
to continue receiving mail in these days you have to configure our free
auto-forwarding service.

Please, read the attach for further details.

For security reasons attached file is password protected. The password is
"14663".

Sincerely,
The Lozhki.net team http://www.lozhki.net

вложение: Info.zip (17K)
показать / скачать

__________________
Я знаю кун-фу, каратэ, таэквондо и еще много страшных слов!

...Учился фотошопу у Сати...

Мерз-з-зкие покемонс-с-сы...

>> We need focus! <<

Самыми красивыми существами в этой вселенной считаю девушек, кошек и драконов!

ЛОЖКИ. ЛОЖКИ ЭТО ХОРОШО.

Адрес поста | Один пост | Сообщить модератору | IP: Logged

Это кто ему такое послал? Архитектор, что ли? Подтверждение апгрейда на полёты?

Out of char: щютка

__________________
i want to break free... ©

Адрес поста | Один пост | Сообщить модератору | IP: Logged

Как его убить если на машинке нет касперского...а ставить сейчас уже бесполезно как я понял...
что сделать?????!!!!
человечек открыл письмо....а там здрасьте...вот сейчас и мучаемся... почта ложиться от писел левых...

Адрес поста | Один пост | Сообщить модератору | IP: Logged

www.drweb.ru

Или format c:

__________________
I remember that time
When Life was a miracle.

The truth is, there is something terribly wrong with this country. (c) "V for Vendetta"

И хотя я понимаю, что это глупо, я опасаюсь стать фанатом "Матрицы", каждый день думаю об этом! Забавно?!

Адрес поста | Один пост | Сообщить модератору | IP: Logged

ну это ясно что формат..это хорошо..
но там куча прог...что делать?

Адрес поста | Один пост | Сообщить модератору | IP: Logged

Незаменимых прог не бывает, а формат с - очень хорошая вещь. Другое дело - личные файлы. У меня была такая ситуация - вирусей развелось немеренно, а пишущего CD-ROM'а не было, куда файлы девать - не знаю, потому что их МНОГО. Кое с чем пришлось расстаться, кое-что пожала и распихала по дискетам, большие выкинула в инет (это по модему-то... до сих пор вспоминать страшно). Зато как приятно было потом!!!

__________________

LOST CARRIER SIGNAL

Адрес поста | Один пост | Сообщить модератору | IP: Logged