Netsky (червь)

Червь NetSky — компьютерный вирус, обнаруженный в сети 16 февраля 2004 года.

Также известен как:

• W32/Netsky.a@MM (McAfee)
• W32.Netsky@mm (Symantec)
• Win32.HLLM.Moodown.37888 (Doctor Web)
• W32/Netsky-A (Sophos)
• Win32/Netsky.A@mm (RAV)
• WORM_NETSKY.A (Trend Micro)
• Worm/NetSky.A (H+BEDV)
• W32/Netsky.A@mm (FRISK)
• Win32:Netsky (ALWIL)
• I-Worm/Netsky.A (Grisoft)
• Win32.Netsky.A@mm (SOFTWIN)
• Worm.SomeFool.Gen-2 (ClamAV)
• W32/Netsky.A.worm (Panda)
• Win32/Netsky.A (Eset)

Другие модификации: .ac, .af, .b, .c, .d, .e, .m, .o, .q, .r, .t, .x, .y

Как и любой почтовый червь, NetSky использует для распространения электронную почту. Зафиксировано более 20 штаммов данного вируса.

Впервые данный вирус был обнаружен 16 февраля 2004 года. Он представляет собой стандартный PE EXE-файл, упакованный программой UPX. Размер исполняемого файла — около 20 КБ (ок. 40 КБ в распакованном виде).

После запуска, червь выводит ложное сообщение об ошибке: «The file could not be opened!», копирует себя в каталог Windows и регистрируется в ключе автозапуска системного реестра. Также создает множество своих копий в подкаталогах, содержащих в названии слово «Share» или «Sharing» и дает им следующие названия:

winxp_crack.exe dolly_buster.jpg.pif strippoker.exe photoshop 9 crack.exe matrix.scr porno.scr angels.pif hardcore porn.jpg.exe office_crack.exe serial.txt.exe cool screensaver.scr eminem - lick my pussy.mp3.pif nero.7.exe virii.scr e-book.archive.doc.exe max payne 2.crack.exe how to hack.doc.exe programming basics.doc.exe e.book.doc.exe win longhorn.doc.exe dictionary.doc.exe rfc compilation.doc.exe sex sex sex sex.doc.exe doom2.doc.pif 

а также копирует несколько своих копий в формате ZIP c именами из списка:

document msg doc talk message creditcard details attachment me stuff posting textfile concert information note bill swimmingpool product topseller ps shower aboutyou nomoney found story mails website friend jokes location final release dinner ranking object mail2 part2 disco party misc #n#o#t#n#e#t#s#k#y#-#s#k#y#n#e#t#! 

Червь ищет файлы с расширениями adb, asp, dbx, doc, eml, htm, html, msg, oft, php, pl, rtf, sht, tbb, txt, uin, vbs, и wab, находит в них адреса электронной почты и рассылает по ним свои копии. Для отправки писем используется собственная SMTP-библиотека.

Зараженные письма формируются из произвольных комбинаций: Тема:

Hi hi hello read it immediately something for you warning information stolen fake unknown 

Текст письма:

AnythingOk? anything ok? what does it mean? ok i'm waiting read the details. here is the document. read it immediately! my hero here is that true? is that your name? is that your account? i wait for a reply! is that from you? you are a bad writer I have your password! something about you! kill the writer of this document! i hope it is not true! your name is wrong i found this document about you yes, really? that is bad here it is see you greetings stuff about you? something is going wrong! information about you about me from the chatter here, the serials here, the introduction here, the cheats that's funny do you? reply take it easy why? thats wrong misc you earn money you feel the same you try to steal you are bad something is going wrong something is fool 

Червь удаляет из системы вирусы Mydoom и Bagle. Для этого из системного реестра удаляются ключи «Explorer» и «Taskmon» в следующих ветках:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
а также : HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32

1. Автор вредоносной программы окончил её разработку штаммом NetSky.K (по его собственному заявлению). Эта версия не производила никаких вредоносных действий, а лишь удаляла вирусы Mydoom и Bagle. Также в исходном коде было обнаружено послание, в котором говорилось, что вскоре в сети будет выложен код программы. Через два дня были обнаружены штаммы L и M. Специалисты считают, что они написаны «подражателями».
2. Штамм NetSky.X рассылал сообщения на английском, шведском, финском, польском, норвежском, португальском, итальянском, французском и немецком языках. "Во многих случаях оказывалось, что сообщение составлено с ошибками, что свидетельствует о том, что вирусописатель не обращался за помощью в переводе к тем, для кого эти языки родные. Вместо этого он пользовался какой-нибудь онлайновой системой перевода типа Babel Fish, " — утверждает финская антивирусная фирма F-Secure. В остальном NetSky.X похож на свои 23 собрата.
3. Червь проводит DoS-атаку (Denial of Service) на три немецких веб-сайта: www.nibis.de, www.medinfo.ufl.edu и www.educa.ch.
4. В августе 2006 года таблицу ТОП-10 вредоносных программ возглавил вирус Netsky.P, более двух лет сохраняющий лидерство, несмотря на доступность исправлений. Согласно опубликованному отчету аналитической фирмы Sophos, за месяц на долю Netsky.P пришлись 19,9 % всех сообщений о заражении вредоносным ПО. Netsky.P, который остается самым широко распространенным из червей e-mail, признан наиболее опасным вирусом 2004 года.

1. Описание вируса в базе Symantec (англ.)
2. Описание червя на сайте Viruslist.com Лаборатории Касперского
3. Описание от ЗАО «Диалог-Наука»
4. Описание от ЗАО «Диалог-Наука»
5. Новости от Positive Technology
6. ГАЗЕТА.ру — Автор Netsky.X слабоват в языках

• Хронология компьютерных вирусов и червей