Win32.HLLM.Netsky.35328 [Netsky.P]

[Alexey P.]

Win32.HLLM.Netsky.35328 [Netsky.P]
Добавлен в вирусную базу Dr.Web 22 марта 2004 г. в 13:19:04 MSK - горячее дополнение
Другие названия: I-Worm.Netsky.q, ZIP.Netsky.P, Win32/Netsky.P.Worm, W32/Netsky.P@mm, Win32.Netsky.P, W32/Netsky.p@MM, W32/Netsky.P.worm, W32/Netsky-P, WORM_NETSKY.P
Тип: почтовый червь массовой рассылки
Имена файлов, используемые вирусом: FVProtect.exe, userconfig9x.dll, base64.tmp, zip1.tmp, zip2.tmp, zip3.tmp, zipped.tmp
Уязвимые операционные системы: Windows 95/98/ME/NT/2000/XP
Признаки инфицирования: наличие файлов FVProtect.exe, userconfig9x.dll, base64.tmp, zip1.tmp, zip2.tmp, zip3.tmp, zipped.tmp в директории Windows
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run "Norton Antivirus AV" = %WinDir%\FVProtect.exe

Описание вируса:
Win32.HLLM.Netsky.35328 [Netsky.P] - почтовый червь массовой рассылки. Поражает компьютеры под управлением операционных систем Windows 95/98/Me/NT/2000/XP. Размер исполняемого модуля червя в упакованном виде (FSG) - 29 568 байт.
Червь распространяется по электронной почте, используя собственную реализацию протокола SMTP. В пораженном компьютере удаляет из системного реестра ключи, модифицируемые другими червями и троянскими программами.
Способы распространения:
Для проникновения в систему червь использует уязвимость, связанную с некорректной обработкой MIME заголовков , которая позволяет вложенному в письмо программному файлу (с вирусом) автоматически запускаться при простом просмотре почты в таких клиентах, как MS Outlook и MS Outlook Express (версии 5.01 и 5.5).
ЗАО "ДиалогНаука" настоятельно рекомендует пользователям указанных программ установить у себя все обновления и патчи, публикуемые фирмой Microsoft!
В случае, если установлены указанные патчи от Microsoft, инфицирование компьютера возможно только в случае сознательного запуска пользователем приложения с вирусным кодом.
Червь сканирует диски компьютера с поисках почтовых адресов. Ревизии подвергаются файлы со следующими расширениями:
.xml .wsh .jsp .msg .oft .sht .dbx .tbb .adb .dhtm .cgi .shtm .uin .rtf .vbs .doc .wab .asp .php .txt .eml .html .htm .pl

Отправка не будет осуществляться по адресам, в которых содержатся следующие строки:

reports@, spam@, noreply@, @viruslis, ntivir, @sophos, @freeav, @pandasof, @skynet, @messagel, abuse@, @fbi, @norton, @f-pro, @kaspersky, @mcafee, @norman, @bitdefender, @f-secur, @avp, @spam, @symantec, @antivi, @microsof


Расширение вложения может быть .zip, .scr, .exe или .pif.

Червь обладает способностью распространяться по файлообменным сетям. На дисках пораженного компьютера он осуществляет поиск директорий, в названиях которых присутствуют следующие строки

shared files
kazaa
mule
donkey
morpheus
lime
bear
icq
shar
upload
http
htdocs
ftp
download
my shared folder

и копирует себя в них в виде файлов со следующими названиями:

The Sims 4 beta.exe
Lightwave 9 Update.exe
Ulead Keygen 2004.exe
Smashing the stack full.rtf.exe
Internet Explorer 9 setup.exe
Opera 11.exe
DivX 8.0 final.exe
WinAmp 13 full.exe
Cracks & Warez Archiv.exe
Visual Studio Net Crack all.exe
ACDSee 10.exe
MS Service Pack 6.exe
Clone DVD 6.exe
Magix Video Deluxe 5 beta.exe
Star Office 9.exe
Partitionsmagic 10 beta.exe
Gimp 1.8 Full with Key.exe
Norton Antivirus 2005 beta.exe
Windows 2000 Sourcecode.doc.exe
Keygen 4 all new.exe
3D Studio Max 6 3dsmax.exe
1001 Sex and more.rtf.exe
RFC compilation.doc.exe
Dictionary English 2004 - France.doc.exe
Win Longhorn re.exe
WinXP eBook newest.doc.exe
Learn Programming 2004.doc.exe
How to hack new.doc.exe
Doom 3 release 2.exe
E-Book Archive2.rtf.exe
netsky source code.scr
Ahead Nero 8.exe
Full album all.mp3.pif
Screensaver2.scr
Serials edition.txt.exe
Microsoft Office 2003 Crack best.exe
XXX hardcore pics.jpg.exe
Dark Angels new.pif
Porno Screensaver britney.scr
Best Matrix Screensaver new.scr
Adobe Photoshop 10 full.exe
Adobe Premiere 10.exe
Teen Porn 15.jpg.pif
Microsoft WinXP Crack full.exe
Adobe Photoshop 10 crack.exe
Windows XP crack.exe
Windows 2003 crack.exe
Arnold Schwarzenegger.jpg.exe
Saddam Hussein.jpg.exe
Cloning.doc.exe
American Idol.doc.exe
Eminem Poster.jpg.exe
Altkins Diet.doc.exe
Eminem blowjob.jpg.exe
Ringtones.doc.exe
Eminem sex xxx.jpg.exe
Ringtones.mp3.exe
Eminem Spears porn.jpg.exe
Eminem full album.mp3.exe
Eminem Sexy archive.doc.exe
Eminem Song text archive.doc.exe
Britney Spears.mp3.exe
Eminem.mp3.exe
Britney Spears full album.mp3.exe
Britney Spears Song text archive.doc.exe
Matrix.mpg.exe
Britney Spears and Eminem porn.jpg.exe
Harry Potter 5.mpg.exe
Britney Spears.jpg.exe
Harry Potter game.exe
Britney Spears fuck.jpg.exe
Harry Potter.doc.exe
Britney Spears cumshot.jpg.exe
Harry Potter e book.doc.exe
Britney Spears blowjob.jpg.exe
Harry Potter 1-6 book.txt.exe
Britney sex xxx.jpg.exe
Harry Potter all e.book.doc.exe
Britney Spears porn.jpg.exe
Kazaa new.exe
Britney Spears Sexy archive.doc.exe
Kazaa Lite 4.0 new.exe


Инфицирование системы:

Будучи активированным, червь создает семафор '_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_' . Далее, он помещает в директорию Windows (в Windows 9x/ME/XP это C:\Windows, в Windows NT/2000 это C:\WINNT ) свою копию FVProtect.exe. Чтобы обеспечить автоматический запуск своей копии при каждой перезагрузке Windows червь вносит данные
"Norton Antivirus AV" = %WinDir%\FVProtect.exe
в реестровую запись
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run

В той же директории червь создает еще несколько файлов:
userconfig9x.dll - зашифрованная копия червя, ее размер 26 624 байта
base64.tmp - копия червя в кодировке base64, которую он рассылает по электронной почте
zip1.tmp, zip2.tmp, zip3.tmp - заархивированные копии червя в кодировке base64
zipped.tmp - временная копия червя в формате WinZip
Червь производит следующие изменения в системном реестре:
Удаляет данные
Explorer
msgsvr32
winupd.exe
direct.exe
jijb
DELETE ME
Sentry
system.
service
Taskmon
Video
Windows Services Host

из реестровой записи
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \
Удаляет данные
system.
Video
из реестровой записи
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services\
Удаляет данные
Explorer
gouday.exe
rate.exe
OLE
d3dupdate.exe
direct.exe
winupd.exe
au.exe
Taskmon
Windows Services Host
sysmon.exe
srate.exe
ssate.exe
из реестровой записи
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \
Удаляет следующие ключи и все данные в них
HKLM\System\CurrentControlSet\Services\WksPatch
HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\PINF

[tolbaz]

Как его правильно лечить? DrWeb его нашел но ничего с ним не сделал. Хотя другие вирусы он перемещал.

[pig]

В безопасном режиме при отключённом восстановлении системы.