Отголоски из прошлого: почтовый червь Netsky

[AM_Bot 48]

В настоящее время в спаме, поступающем в почтовые ящики белорусов, опять получил широкое распространение червь Win32.NetSky.q. Размер вложенного файла с вредоносной программой может колебаться в пределах 20-30 Кб.

Напомним, что червь NetSky был обнаружен в сети еще в далеком 2004 году. Практически все модификации червя Netsky распространяются через электронную почту и рассылают свои копии по всем найденным на компьютере пользователя электронным адресам. Зафиксировано более 20 штаммов данного почтового червя. Впервые данная вредоносная программа была обнаружена 16 февраля 2004 года. Он представляет собой стандартный PE EXE-файл, упакованный программой UPX. 

Червь активизируется, если пользователь сам запускает зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.

После запуска, червь выводит ложное сообщение об ошибке: «The file could not be opened!», копирует себя в каталог Windows и регистрируется в ключе автозапуска системного реестра. Также создает множество своих копий в подкаталогах, содержащих в названии слово «Share» или «Sharing».

Для поиска адресов жертв сканируются файлы, имеющие следующие расширения: adb, asp, cgi, dbx, dhtm, doc, eml, htm, html, jsp, msg, oft, php, pl, rtf, sht, shtm, tbb, txt, uin, vbs, wab, wsh, xml. Червь рассылает себя по всем найденным в файлах с расширениями из приведенного выше списка адресам электронной почты. Для отправки писем Netsky использует собственную SMTP-библиотеку.

Вредоносные действия Netsky

Серия картин Infected Art румынского художника Алекса Драгулеску

Одним из побочных действий рассматриваемой вредоносной программы является атака всех зараженных компьютеров, направленная на какой-либо объект (DoS-атаки). Некоторые модификации Netsky существенно замедляют работу компьютера.

А знаете ли вы?

В 2004 году развернулась настоящая кибербитва между соперничающими вирусописателями. Netsky не просто заражал компьютеры — он также удалял с машин любые экземпляры других почтовых червей Mydoom, Bagle и Mimail. В довершение ко всему, авторы Netsky объявили войну авторам Bagle. На пике такой «войны» каждый день появлялось несколько экземпляров обоих червей, содержавших в своем теле угрозы в адрес недругов.

В августе 2006 года таблицу ТОП-10 вредоносных программ возглавлял именно червь Netsky, более двух лет с момента своего появления сохранявший лидерство по распространенности в мире.

Будьте внимательны! Не забывайте обновлять свое антивирусное ПО. Не открывайте ссылки в спамовых письмах. Такие ссылки зачастую ведут на мошеннические, либо зараженные вредоносными программами сайты. Не пытайтесь «отписаться» от спама (особенно в том случае, когда в спамерском письме есть соответствующая ссылка). Избавиться от спама это не поможет, скорее наоборот. Спамеры регулярно запускают автоматическую проверку и чистку своих баз от несуществующих адресов; отвечая на письмо, вы подтверждаете, что ваш адрес (который, был, возможно, подобран автоматически) действительно существует, его действительно читают. Это побудит спамеров внести его в отдельные, «чистые» базы, вследствие чего вам будет приходить еще больше спама. Пройдя по ссылке, вы попадете на зараженный сайт и получите вредоносную программу на свой компьютер.

Подробнее