Email-Worm.Win32.NetSky.y
Szkodnik aktywuje si臋 tylko wtedy, gdy u偶ytkownik uruchomi zainfekowany za艂膮cznik.
Robak kopiuje si臋 z nazw膮 FirewallSvr.exe do folderu Windows i tworzy w rejestrze systemowym klucz auto-run:
RunFirewallSvr]
Robak wysy艂a wiadomo艣ci w r贸偶nych j臋zykach (w zale偶no艣ci od domeny w jakiej znajduje si臋 adres odbiorcy). Adres nadawcy jest zawsze taki sam - hukanmikloiuo@yahoo.com.
- Domena ".tc"
- Temat: Re: belge
- Tre艣膰: mutlu etmek okumak belgili tanimlik belge.
- Nazwa za艂膮cznika: belge.pif
- Domena ".se"
- Temat: Re: dokumenten
- Tre艣膰: Behaga l盲sa dokumenten.
- Nazwa za艂膮cznika: dokumenten.pif
- Domena ".fi"
- Temat: Re: dokumentoida
- Tre艣膰: Haluta kuulua dokumentoida.
- Nazwa za艂膮cznika: dokumentoida.pif
- Domena ".pl"
- Temat: Re: udokumentowac
- Tre艣膰: Podobac sie przeczytac ten udokumentowac.
- Nazwa za艂膮cznika: udokumentowac.pif
- Domena ".no"
- Temat: Re: dokumentet
- Tre艣膰: Behage lese dokumentet.
- Nazwa za艂膮cznika: dokumentet.pif
- Domena ".pt"
- Temat: Re: original
- Tre艣膰: Leia por favor o original.
- Nazwa za艂膮cznika: original.pif
- Domena ".it"
- Temat: Re: documento
- Tre艣膰: Legga prego il documento.
- Nazwa za艂膮cznika: documento.pif
- Domena ".fr"
- Temat: Re: document
- Tre艣膰: Veuillez lire le document.
- Nazwa za艂膮cznika: document.pif
- Domena ".de"
- Temat: Re: dokument
- Tre艣膰: Bitte lesen Sie das Dokument.
- Nazwa za艂膮cznika: dokument.pif
- Pozosta艂e domeny
- Temat: Re: document
- Tre艣膰: Please read the document.
- Nazwa za艂膮cznika: document.pif
Adresy potencjalnych ofiar pobierane s膮 z plik贸w nast臋puj膮cych typ贸w:
- ADB
- ASP
- DBX
- DOC
- EML
- HTM
- HTML
- MSG
- OFT
- PHP
- PL
- RTF
- SHT
- TBB
- TXT
- UIN
- VBS
- WAB
Mi臋dzy 27, a 30 kwietnia robak przeprowadza ataki DoS na nast臋puj膮ce serwery:
- www.educa.ch
- www.medinfo.ufl.edu
- www.nibis.de
Robak otwiera port 82 i 艣ledzi jego aktywno艣膰. Wbudowana w szkodnika funkcja backdoor pozwala hakerowi na zapisywanie plik贸w na zainfekowanym komputerze.
Robak tworzy w folderze Windows plik fuck_you_bagle.txt i zapisuje w nim w艂asny kod. Plik ten jest wykorzystywany w procesie generowania zainfekowanych wiadomo艣ci e-mail.