Netsky.AG е червей без разрушителен ефект, който се разпространява по e-mail в съобщение с вариращи характеристики и през peer-to-peer (P2P) програми.
Netsky.AG изтрива вписванията, които принадлежат на други червеи, включително Mydoom.A, Mydoom.B и Mimail.T, от Windows Registry.
Netsky.AG лесно се разпознава, тай като веднъж заразил компютъра, след като е стартиран показва на екрана следното съобщение:
Стратегия на заразяване:
Netsky.AG създава файла MSNMSGRS.EXE в директорията на Windows.
Netsky.AG създава следните вписвания в Windows Registry:
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run
MsnMsgr = MsnMsgrs.exe –alev
Ако не може да го създаде, прави опити да създаде този:
HKEY_CURRENT_USER SOFTWARE Microsoft Windows CurrentVersion Run
MsnMsgr = MsnMsgrs.exe –alev
Netsky.AG изтрива следните входове от Windows Registry:
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run
Taskmon
HKEY_CURRENT_USER SOFTWARE Microsoft Windows CurrentVersion Run
Taskmon
HKEY_CLASSES_ROOT CLSID {E6FB5E20-DE35-11CF-9C87-00AA005127ED} InProcServer32
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run
Explorer
HKEY_CURRENT_USER SOFTWARE Microsoft Windows CurrentVersion Run
Explorer
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run
KasperskyAv
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run
system
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion RunServices
system
Те са създадени в Windows Registry от други червеи като Mydoom и Mimail. Изтривайки ги, Netsky.AG се осигурява, че те няма да се активират при стартиране на Windows.
Начини на предаване:
Netsky.AG се разпространява по два начина.
1. По e-mail.
Netsky.AG следва стъпките:
Достига до компютъра в съобщение с вариращи характеристики:
Sender:
Netsky.AG фалшифицира e-mail адреса, от който е е изпратен.
Netsky.AG използва кодирания e-mail адрес j_a_r@ig.com.br или някой от адресите, които е "откраднал" от файл в заразения компютър.
Subject: може да бъде някой от тези:
:)
agradou
diga
impressao!!
massas!
morto
pescaria por kilo
robos!
Sua saude esta bem?
Message:
Abra rapido isso!!!!
acrdito que em voce!!!
algo a mais falea verdade!!!
AMA!
AmaVoce
amor me liga
arquivo zipado PGP???
Boleto Pague
campanhadafome
encontro voce!
estou doente veja!!!
ferias nos E.U.A
ganhe muita grana
gostaria disso e voce???
grana
Hackers do Brasil
Lembra?
me diz o que acha?
me veja peladinha
Medical Labs Exames!!!
meu telefone liga
olha que isso!!!
parabens!
PizzaVeneza!
Policia SP
pq nao me liga??
preenche ai ta bom
promocao de viajens de fim de ano
Proposta de emprego!!
receitas de bolo!!
retorna logo isso!!
reza de sao tome!!!!.
sinto voce!!
sua conta bancaria zerada
Sua Conta!!
Surto :(
te amo!
tudo sobre voce sabe
Vacina contra o HIV!!
ve ai logo ta
veja detalhes!!!.
veja o que tem no zip e me liga
voce passou :D!!!
Attachments: името на файла е вариращо и обикновено има двойно разширение:
:(, :-), :D, ???, AGUA!, AIDS!, ANINHAPUTINHA +55OPERADO6992292246, AQUI, BANCO!, BINGOS!, BOTAO, BRASIL!, CARROS!, CIRCULAR, CONTAS!!, CRIANCAS!, DINHEIRO!!, DOCS, EMAIL, FESTA!!, FLIPE, GRANA, GRANA!!, IMPOSTO, JOGO!, LANTROCIDADE, LINUSTOR, LOTERIAS, LULAO!, MISSAO, REVISTA, SAMPA!!, SORTEADO!!, TETAS, VACA, VADIAS!, VIPS!, VOCE, WAR3! и ZERADO.
Първо разширение: DOC, HTM, RTF or TXT.
Второ разширение: COM, EXE, PIF or SCR. В някои от случаите прикрепения файл има само едно от тези изпълними разширения.
Освен това може също да достигне компютъра във файл със ZIP разширение.
Netsky.AG търси e-mail адреси във файлове със следните разширения: ADB, ASP, DBX, DOC, EML, HTM, HTML, OFT, PHP, PL, RTF, SCS, SHT, TBB, TXT, UIN, VBS и WAB.
Netsky.AG се изпраща на намерените електронни адреси, използвайки собсвена SMTP engine.
2. През peer-to-peer(P2P) програми.
Netsky.AG прави следното:
Създава свои копия в директории, съдържащи текстовите стрингове: share or sharing. Търси тези директории във всички компоненти - от C: до Z:.
Netsky.AG създава mutex наречен MutexAninha22apr, за да бъде сигурен че само едно негово копие е активно в паметта.
Освен това, Netsky.AG модифицира DOS, за да се покаже следния текст, ако е стартиран под DOS:
Alevirus NetSky-bCracked AninhaAMAVC!
Заразен ли е компютърът ми?
За да сте абсолютно сигурни, че Netsky.AG не е заразил Вашия компютър, имате следните опции:
-Проверете дали сте получили съобщение с характеристиките, описани по-горе.
-Сканирайте изцяло компютъра си, използвайки антивирусен продукт на Panda, след като сте проверили дали програмата е обновила вирусните си дефиниции.
- Проверете компютъра с Panda ActiveScan, безплатният online скенер на Panda Software, който бързо ще открие всички възможни вируси.
Как да премахнете Netsky.AG?
Преди всичко, ако сте получили съобщение с описаните по-горе характеристики, не отваряйте и не стартирайте прикачените файлове и изтриите съобщението, включително и от папката Deleted Items .
Ако Panda Antivirus или Panda ActiveScan открие Netsky.AG по време на сканирането, автоматично ще ви предложи опцията да го изтриете. Напревете това сладвайки програмните инструкции.
Най-накрая възстановете оригиналната конфигурация на компютъра си, сладвайки инструкциите:
Изтриите вписванията, които Netsky.AG е създал в Windows Registry::
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run
MsnMsgr = MsnMsgrs.exe –alev
HKEY_CURRENT_USER SOFTWARE Microsoft Windows CurrentVersion Run
MsnMsgr = MsnMsgrs.exe –alev