Cảnh báo virus: W32/Netsky-S

- W32/Netsky-S là một loại "bom sâu" kiêm chức năng của một "cổng sau". Sâu tự nhân bản vào thư mục Windows dưới cái tên EasyAV.exe, và tạo ra một file có tên là uinmzertinmds.opm (form mã hoá base64 của sâu).

- Để có thể tự động chạy khi hệ thống khởi động, sâu sẽ tạo ra các giá trị sau trong khoá registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\EasyAV =
<Windows>\EasyAV.exe

- W32/Netsky-S có thành phần cổng sau, lắng nghe lệnh kết nối tại cổng 6789/TCP, cho phép các chương trình bất hợp pháp có thể tải và thực thi các đoạn mã nhị phân trên máy tính lây nhiễm.

- Sâu thu thập địa chỉ e-mail trong hệ thống từ các file có phần mở rộng sau:

SHT, ADB, TBB, WAB, DBX, OFT, DOC, MSG

- Các e-mail nhiễm sâu W32/Netsky-S mang các đặc điểm sau:

Dòng tiêu đề:

Hi
Hello
Re: Hi
Re: Hello
Approved
Re: Approved
Thank you!
Re: Thanks you!
Request
Re: Request
Your document
Re: Your document
Your details
Re: Your details
Your information
Re: Your information
My details
Important
Re: Important

Dòng thông điệp:

Hi!
Hello!

Please read the <tên file đính kèm>.
Please have a look at the <tên file đính kèm>.
Here is the <tên file đính kèm>.
The <tên file đính kèm> is attached.
Please see the <tên file đính kèm>.
I have sent the <tên file đính kèm>.
The requested <tên file đính kèm> is attached!
Here is the document.
See the document for details.
Please have a look at the attached document.
Please read the attached document.
Your file is attached to this mail.
Please, <tên file đính kèm>.
Your <tên file đính kèm> is attached.
My <tên file đính kèm> is attached.
I have found the <tên file đính kèm>.
Approved, here is the document.
For more information see the attached document.
For more details see the attached document.
Please read quickly.
Please notice the attached document.
Please notice the attached <tên file đính kèm>.
Your <tên file đính kèm>.
I have spent much time for your document.
I have spent much time for the <tên file đính kèm>.
The <tên file đính kèm>.
My <tên file đính kèm>.
Note that I have attached your document.

Thanks
Thank you
Yours sincerely

+++ X-Attachment-Type: document
+++ X-Attachment-Status: no virus found
+++ Powered by the new Panda OnlineAntiVirus
+++ Website: www.pandasoftware.com

+++ X-Attachment-Type: document
+++ X-Attachment-Status: no virus found
+++ Powered by the new MCAfee OnlineAntiVirus
+++ Homepage: www.mcafee.com

+++ X-Attachment-Type: document
+++ X-Attachment-Status: no virus found
+++ Powered by the new F-Secure OnlineAntiVirus'
+++ Visit us: www.f-secure.com

File đính kèm:

approved_file
list
corrected_document
archive
abuse_list
presentation_document
instructions
details
improved_document
note
message
contact_list
number_list
file
secound_document
improved_file
user_list
textfile
new_document
text
information
info
word_document
excel_document
powerpoint_document
detailed_document
homepage
letter
mail
document
old_document
approved_document
movie_document
picture_document
summary
description
requested_document
notice
bill
answer
release
final version
diggest
important_document
order
photo_document
personal_message
phone_number
e-mail
icq number
report
story
concept
developement
sample
postcard
account

- Các tên file đính kèm thường được móc nối bằng một con số ngẫu nhiên và có phần mở rộng ở dạng .PIF.

- Trong khoảng thời gian từ ngày 14 đến 23/4/2004, W32/Netsky-S sẽ khởi phát một cuộc tấn công DoS (tấn công từ chối dịch vụ) vào các website sau:

www.cracks.am
www.emule.de
www.kazaa.com
www.freemule.net
www.keygen.us