Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

UWAGA! I-Worm.Netsky.ac

Jest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanych wiadomości e-mail oraz za pośrednictwem sieci P2P. Ma postać pliku PE EXE o rozmiarze 17 920 bajtów (kompresja PE-Patch, rozmiar po rozpakowaniu - około 1,5 MB). Szkodnik powstał przy użyciu środowiska programistycznego Microsoft Visual C.

Charakterystyka zainfekowanych wiadomości e-mail

  • Temat (wybierany z poniższych możliwości):
    Question
    Letter
    Picture
    More samples
    Only love?
    Funny
    Numbers
    Found
    Stolen
    Money
    Letter
    Text
    Pictures
    Criminal
    Wow
    Password
    Privacy
    Hurts
    Correction
    

  • Treść (wybierana z poniższych możliwości):
    Does it hurt you?
    Do you have written the letter?
    Do you have more photos about you?
    Do you have more samples?
    Wow! Why are you so shy?
    You have no chance...
    Are your numbers correct?
    I've found your creditcard. Check the data!
    Do you have asked me?
    Do you have no money?
    True love letter?
    The text you sent to me is not so good!
    Your pictures are good!
    Hey, are you criminal?
    Why do you show your body?
    I've your password. Take it easy!
    Still?
    How can I help you?
    Please use the font arial!
    

  • Nazwa załącznika (wybierana z poniższych możliwości):

    • your_picture.pif
    • your_letter_03.pif
    • all_pictures.pif
    • your_picture.pif
    • loveletter02.pif
    • your_text.pif
    • pin_tel.pif
    • visa_data.pif
    • my_stolen_document.pif
    • your_bill.pif
    • your_letter.pif
    • your_text01.pif
    • your_picture01.pif
    • myabuselist.pif
    • image034.pif
    • passwords02.pif
    • document1.pif
    • hurts.pif
    • corrected_doc.pif

Robak aktywuje się tylko wtedy, gdy użytkownik uruchomi załącznik zainfekowanej wiadomości e-mail.

Rozprzestrzenianie - poczta elektroniczna

Szkodnik wysyła zainfekowane wiadomości e-mail przy użyciu bezpośredniego połączenia z serwerem SMTP.

Instalacja

Po uruchomieniu robak kopiuje się do folderu Windows z nazwą csrss.exe i tworzy w rejestrze systemowym klucz auto-run:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\BagleAV

ukrywając się w ten sposób jako program antywirusowy usuwający robaka Bagle.

Informacje dodatkowe

Robak podejmuje próby usuwania z rejestru systemowego kluczy tworzonych przez robaka I-Worm.Bagle.y.



 2004-04-28  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych