Biến thể Q - bản sao thứ 17 của NetSky

Phiên bản mới được lập trình để thực hiện tấn công từ chối dịch vụ vào các mạng ngang hàng (P-to-P). Nó chứa một thông điệp đổ lỗi cho người sử dụng đã góp phần phát tán virus và tuyên bố tác giả của sâu muốn chấm dứt nạn hacking và kinh doanh file bất hợp pháp.

Theo hãng F-Secure, NetSky.Q xuất hiện trên Internet hôm qua trong những file đính kèm e-mail dạng .PIF (Program Information File) hoặc .ZIP. Nó cố gắng khai thác một lỗ hổng an ninh mà Microsoft đã khắc phục từ lâu. Lỗi này cho phép file đính kèm tự động mở ra khi người nhận đọc e-mail.

Thông điệp trong NetSky.Q giả dạng như những thông báo lỗi gửi mail từ các máy chủ của công ty cung cấp dịch vụ mail, với những dòng chủ đề như "Delivery Error" "Error" và "Server Error". Khi mở ra, e-mail sẽ hiển thị một thông điệp đại loại như "Mail Delivery -- This mail couldn't be displayed" (Thông báo gửi thư - Bức thư không thể hiển thị) và cho biết bên trong có chứa một bản sao của bức thư bị từ chối dưới dạng file đính kèm nhị phân, đồng thời yêu cầu người sử dụng click vào để mở.

Giống như những biến thể trước của NetSky, bản Q tự cài đặt vào hệ thống Windows khi file đính kèm được mở. Nó cũng sẽ quét ổ cứng của máy nạn nhân và thu lượm địa chỉ e-mail từ nhiều loại file khác nhau. Theo hãng Sophos, NetSky.Q sẽ tự gửi những bản sao của nó tới những địa chỉ ăn cắp này vào các ngày 31/3, 5-12-19-26/4/2004. Còn F-Secure thì cho biết, những máy tính bị nhiễm sâu Q sẽ bị lập trình để tung ra một cuộc tấn công từ chối dịch vụ vào một số mạng ngang hàng và nhiều website cung cấp ấn phẩm ăn cắp bản quyền, trong đó có www.kazaa.com, www.edonkey2000.com và www.cracks.am vào ngày 7 và 14/4/2004. Một thông điệp được giấu trong mã sâu đã giải thích lý do những cuộc tấn công này. Trong đó, tác giả của NetSky khẳng định mình là đại diện của một nhóm có tên "SkyNet Antivirus Team", đặt trụ sở ở Nga và hành động vì mục đích tích cực. Hacker nhấn mạnh những gì chúng làm là để chỉ ra sự tương phản với những loại sâu khác (chủ yếu là Bagle và Mydoom), chỉ chuyên mở cổng hậu trên máy lây nhiễm để làm kênh phát tán spam hoặc sử dụng cho các cuộc tấn công về sau.

Trong nhiều tuần qua, các tác giả của NetSky đã tham gia một cuộc đấu khẩu bằng những thông điệp trong mã sâu với những kẻ viết virus Bagle. Hai nhóm liên tục sử dụng những “sáng tác mới” của mình làm công cụ phát ngôn và chỉ trích lẫn nhau.

Hiện nay, các công ty phần mềm diệt virus đã phát hành một file chữ ký mới để xác định NetSky.Q và khuyến cáo người sử dụng nâng cấp công cụ phòng vệ hệ thống.