W32/Netsky.B@mm
Ný útgáfa af Netsky orminum hefur litið dagsins ljós. Þessi ormur hefur náð töluverðri útbreiðslu hér á landi undanfarna daga. Netsky.B er ekki mikill skaðvaldur en getur valdið vandræðum vegna þess fjölda tölvupósta sem hann sendir frá sýktum tölvum.
Við hvetjum alla tölvunotendur til að vera á varðbergi gagnvart grunsamlegum tölvupósti og opna ekki viðhengi nema þeir séu fullvissir um að það sé óhætt. Tölvunotendur skulu einnig vera með veiruvarnarforrit á tölvum sínum og passa upp á að bæði forritið og veirugagnaskrárnar séu bæði uppfærð reglulega.
Hér að neðan má finna hreinsunarleiðbeiningar jafnt sem tæknilega lýsingu á W32/Netsky.B@mm.
Hreinsunarleiðbeiningar:
Þar sem Netsky.B skrifar sig inn í skrár sem stýrikerfið notar þegar það er að keyra, verður að nota DOS/CMD skannann í Lykla-Pétri til að hreinsa orminnn. Fylgdu þeim hreinsunarleiðbeiningum hér að neðan sem viðeigandi eru fyrir þitt stýrikerfi:
Skönnun í DOS/CMD:
Fyrir Windows 95 / 98 / ME vélar:
Smelltu á START \ SHUT DOWN \ RESTART in MS-DOS mode
Þegar vélin er komin upp í DOS skaltu slá inn eftirfarandi:
| cd \ | [ENTER] |
| cd progra~1 | [ENTER] |
| cd fsi | [ENTER] |
| cd lykla-~1 | [ENTER] |
| petur | [ENTER] |
Nú keyrir DOS skanninn uppp. Stilltu á sjálfvirka sótthreinsun í Viðbrögð og keyrðu svo leit.
Ath. (~ þetta tákn er framkallað með því að halda niðri hægri ALT hnappnum og ýta á ?)
Þegar skönnun er lokið skal endurræsa vélina og fjarlægið gildi frá orminum úr gisti (registry:
Vinsamlegast athugið að ekki er ráðlegt að breyta/eyða neinu í gisti (registry) nema fullkomin vitneskja liggi fyrir um það sem breytt/eytt er! Ef þú hefur ekki áður unnið með gisti (registry) bendum við þér á að ráðfæra þig við vana manneskju áður en lengra er haldið.
Finnið eftirfarandi lykil í gisti:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
Eyðið eftirfarandi gildi:
"service"="C:\\WINDOWS\\services.exe -serv"
Fyrir Windows NT 4.0 / 2000 / XP vélar
Smelltu á START \ SHUT DOWN \ RESTART
Þegar vélin er að ræsa skaltu ýta á F8 takkann og af listanum sem kemur skaltu velja:
"Safe mode with Command prompt"
Þegar komið er í C: skal slá inn eftirfarandi:
| cd \ | [ENTER] |
| cd program files | [ENTER] |
| cd fsi | [ENTER] |
| cd lykla-petur | [ENTER] |
fpcmd C: /disinf /auto /dumb /list [ENTER]
Nú fer skönnun í gang og vélin verður hreinsuð
Vinsamlegast athugið að ef fleiri en eitt drif er á vélinni þarf að hreinsa hvert fyrir sig, þ.e. C: D: etc...
Þegar skönnun er lokið skal endurræsa vélina og fjarlægið gildi frá orminum úr gisti (registry:
Vinsamlegast athugið að ekki er ráðlegt að breyta/eyða neinu í gisti (registry) nema fullkomin vitneskja liggi fyrir um það sem breytt/eytt er! Ef þú hefur ekki áður unnið með gisti (registry) bendum við þér á að ráðfæra þig við vana manneskju áður en lengra er haldið.
Finnið eftirfarandi lykil í gisti:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
Eyðið eftirfarandi gildi:
"service"="C:\\WINDOWS\\services.exe -serv"
Tæknileg lýsing
Netsky.B er póstormur sem notar sína eigin póstvél. Hann reynir að auka dreifingu sína enn frekar með því að afrita sig inn í möppur sem kallaðar eru "Share" eða "Sharing". Viðhengin geta bæði verið zip skrár eða með tvær endingar (t.d. skjal.htm.scr).
Þegar vírusinn keyrir upp í fyrsta sinn birtir hann eftirfarandi skilaboð:
Þegar notandinn hefur lokað þessum skilaboðum, afritar ormurinn sig í Windows möppu sem nefnist services.exe. Hann skrifar sjálfann sig í gisti (registry) þannig að hann keyrist upp í hvers sinn sem vélin er ræst upp. Lykillinn sem ormurinn bætir í gisti (registry) er:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Ormurinn reynir einnig að óvirkja ákveðinn hugbúnað með því að fjarlægja eftirfarandi gildi úr gisti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\system
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\system
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\KasperskyAv
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\KasperskyAv
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Explorer
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Explorer
HKEY_CLASSES_ROOTCLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32\Taskmon
Til þess að falsa netfang sendanda safnar ormurinn netföngum saman úr skrám sem hafa eftirfarandi endingar:
.msg .oft .sht .dbx .tbb .adb .doc .wab .asp .uin .rtf .vbs .html .htm .pl .php .txt .eml
Ormurinn sendir sig á þau netföng sem hann finnur og notar netföng úr safni sínu til að falsa netfang sendanda.
Textinn í pósti sýktum af Netsky.B er valinn af handahófi af eftirfarandi lista:
something is fool
something is going wrong
you are bad you try to steal
you feel the same
you earn money
thats wrong
why?
take it easy
reply
do you?
that's funny
here, the cheats
here, the introduction
here, the serials
from the chatter
about me
information about you
something is going wrong!
stuff about you?
greetings
see you
here it is
that is bad
yes, really?
i found this document about you your name is wrong
i hope it is not true!
kill the writer of this document!
something about you!
I have your password!
you are a bad writer
is that from you?
i wait for a reply!
is that your account?
is that your name?
is that true?
here
my hero
read it immediately!
here is the document.
read the details.
i'm waiting
ok what does it mean?
anything ok?
Efnislínan (subject) er ein af eftirfarandi setningum (orðum):
unknown
fake
stolen
information
warning
something for you
read it immediately
hello
hi
Nafn viðhengisins er valið úr eftirfarandi lista:
misc
party
disco
part2
mail2
object
ranking
dinner
release
final
location
jokes
friend
website
mails
story
found
nomoney
aboutyou
shower
ps
topseller
product
swimmingpool
bill
note
concert
textfile
posting stuff
me
attachment
details
creditcard
message
talk
doc
msg
document
Ormurinn reynir að dreifa sér enn frekar með því að afrita sig á skrár sem nefnast "Share" eða "Sharing". undir einu af eftirfarandi nöfnum:
>winxp_crack.exe
dolly_buster.jpg.pif
strippoker.exe
photoshop 9 crack.exe
matrix.scr
porno.scr
angelis.pif
hardcore porn.jpg.exe
office_crack.exe
serial.txt.exe
cool screensaver.scr
eminem - lick my pussy.mp3.pif
nero.7.exe
virii.scr
e-book.archive.doc.exe
max payne 2.crack.exe
how to hack.doc.exe
programming basics.doc.exe
e.book.doc.exe
win longhorn.doc.exe
dictionary.doc.exe
rfc compilation.doc.exe
sex sex sex sex.doc.exe
doom2.doc.pif