Перейти к содержанию
AM_Bot

Отголоски из прошлого: почтовый червь Netsky

Recommended Posts

AM_Bot

В настоящее время в спаме, поступающем в почтовые ящики белорусов, опять получил широкое распространение червь Win32.NetSky.q. Размер вложенного файла с вредоносной программой может колебаться в пределах 20-30 Кб.

spam.jpg

Напомним, что червь NetSky был обнаружен в сети еще в далеком 2004 году. Практически все модификации червя Netsky распространяются через электронную почту и рассылают свои копии по всем найденным на компьютере пользователя электронным адресам. Зафиксировано более 20 штаммов данного почтового червя. Впервые данная вредоносная программа была обнаружена 16 февраля 2004 года. Он представляет собой стандартный PE EXE-файл, упакованный программой UPX. 

Червь активизируется, если пользователь сам запускает зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.

После запуска, червь выводит ложное сообщение об ошибке: «The file could not be opened!», копирует себя в каталог Windows и регистрируется в ключе автозапуска системного реестра. Также создает множество своих копий в подкаталогах, содержащих в названии слово «Share» или «Sharing».

Для поиска адресов жертв сканируются файлы, имеющие следующие расширения: adb, asp, cgi, dbx, dhtm, doc, eml, htm, html, jsp, msg, oft, php, pl, rtf, sht, shtm, tbb, txt, uin, vbs, wab, wsh, xml. Червь рассылает себя по всем найденным в файлах с расширениями из приведенного выше списка адресам электронной почты. Для отправки писем Netsky использует собственную SMTP-библиотеку.

Вредоносные действия Netsky

Netsky.jpg

Серия картин Infected Art румынского художника Алекса Драгулеску

Одним из побочных действий рассматриваемой вредоносной программы является атака всех зараженных компьютеров, направленная на какой-либо объект (DoS-атаки). Некоторые модификации Netsky существенно замедляют работу компьютера.

А знаете ли вы?

В 2004 году развернулась настоящая кибербитва между соперничающими вирусописателями. Netsky не просто заражал компьютеры — он также удалял с машин любые экземпляры других почтовых червей Mydoom, Bagle и Mimail. В довершение ко всему, авторы Netsky объявили войну авторам Bagle. На пике такой «войны» каждый день появлялось несколько экземпляров обоих червей, содержавших в своем теле угрозы в адрес недругов.

В августе 2006 года таблицу ТОП-10 вредоносных программ возглавлял именно червь Netsky, более двух лет с момента своего появления сохранявший лидерство по распространенности в мире.

Будьте внимательны! Не забывайте обновлять свое антивирусное ПО. Не открывайте ссылки в спамовых письмах. Такие ссылки зачастую ведут на мошеннические, либо зараженные вредоносными программами сайты. Не пытайтесь «отписаться» от спама (особенно в том случае, когда в спамерском письме есть соответствующая ссылка). Избавиться от спама это не поможет, скорее наоборот. Спамеры регулярно запускают автоматическую проверку и чистку своих баз от несуществующих адресов; отвечая на письмо, вы подтверждаете, что ваш адрес (который, был, возможно, подобран автоматически) действительно существует, его действительно читают. Это побудит спамеров внести его в отдельные, «чистые» базы, вследствие чего вам будет приходить еще больше спама. Пройдя по ссылке, вы попадете на зараженный сайт и получите вредоносную программу на свой компьютер.

Подробнее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      В Win7 dns лог работать таки не будет, увы там он дырявый и почти все проходит мимо него, в win 8.0 в ограниченном виде будет работать.
      В Win11 лог отключается сразу, глюка как с 10-кой нет, что радует все-таки что-то исправляют.
    • Ego Dekker
      Домашние антивирусы были обновлены до версии 14.2.23.
    • demkd
      повторюсь, отключение сбора информации не происходит до перезагрузки из-за криворукости microsoft, врочем нагрузка низкая и можно и не отключать вообще, запущенный браузер иногда пишет на диск раз в 20 больше за тоже время и это если ему оперативки вполне хватает.
    • santy
      ясно, будет рекомендовать выполнить regt 40 сразу после создания образа автозапуска.
    • PR55.RP55
      Так не пойдёт. Люди бывает начинают лечение - выполняют первый скрипт куда включена команда regt 39 ( скрипт помогает ...)  и на этом всё. Если тем много - оператор может забыть о regt 40 Бывает  народ неделями не перезагружает PC ( не говоря о серверах ) Бывает народ занимается самолечением, или выполняет чужие скрипты, или "свои" скрипты из своей предыдущей\старой темы. т.е. параллельно с применением  regt 39 - должна создаваться задача которая по прошествии 2-3-х суток это дело прекратит.    
×