W32/Netsky-B
(19. veljače 2004.)

Sophos nas je obavijestio o pojavi novog crva W32/Netsky-B za koji je Sophos Plc primio nekoliko prijava otkrivanja. Qubis d.o.o. do sada nije primio dojavu otkrivanja ovog crva u Hrvatskoj. Crv W32/Netsky-B prepoznavat će Sophos Anti-Virus za travanj 2004. (v.3.80).

Instalacije svih korisnika koji koriste EMLibrary, Sophosov alat za automatizirano dograđivanje putem Interneta, dograđene su automatski 19. veljače 2004., kada je objavljena prva verzija ove dogradnje ili nakon toga, ovisno o tome kako je podešena učestalost dograđivanja.

Svim korisnicima preporučujemo da, ako već nisu, svoje programe Sophos Anti-Virus odmah dograde hitnom dogradnjom za prepoznavanje ovog crva, koju možete naći na http://www.sophos.com/downloads/ide/.

Vrsta

Win32 crv

Alias

Win32/Netsky.B, W32.Netsky.B@mm, WORM_NETSKY.B

Način širenja

Širi se elektroničkom poštom i dijeljenim folderima.

Aktivnosti / Simptomi / Posljedice

Elektronička poruka s inficiranom datotekom može sadržavati sljedeće dijelove:

Kada se aktivira, može prikazati lažnu poruku ""The file could not be opened" ("Ne mogu otvoriti datoteku."), ali se crv aktivira. Na računalu pretražuje datoteke  MSG, OFT, SHT, DBX, TBB, ADB, DOC, WAB, ASP, UIN, RTF, VBS, HTML, HTM, PL, PHP, TXT i EML iz kojih prikuplja elektroničke adrese na koje će poslati inficirane poruke.

Kreira sljedeću datoteku:

• %WindowsFolder%\services.exe

i u registry dodaje:

• HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ service = "C:\\WINDOWS\\services.exe -serv"

kako bi osigurao automatsko aktiviranje pri sljedećem pokretanju računala.

Iz registry-ja uklanja stavke koje dodaju crvi W32/MyDoom-A i W32/MyDoom-B.

Pretražuje particije od C: do Z: u potrazi za direktorijima s rječju "share" ili "sharing" i tamo ostavlja svoju kopiju pod jednim od sljedećih naziva:

• angels.pif
• cool screensaver.scr
• dictionary.doc.exe
• dolly_buster.jpg.pif
• doom2.doc.pif
• e-book.archive.doc.exe
• e.book.doc.exe
• eminem - lick my pussy.mp3.pif
• hardcore porn.jpg.exe
• how to hack.doc.exe
• matrix.scr
• max payne 2.crack.exe
• nero.7.exe
• office_crack.exe
• photoshop 9 crack.exe
• porno.scr
• programming basics.doc.exe
• rfc compilation.doc.exe
• serial.txt.exe
• sex sex sex sex.doc.exe
• strippoker.exe
• virii.scr
• win longhorn.doc.exe
• winxp_crack.exe

Uklanjanje

Automatsko uklanjanje

• Sophosov alat za uklanjanje

Ručno uklanjanje

Windows 9X klasa:

• preuzmite IDE datoteke sa Sophosovih stranica za trenutno instaliranu inačicu Sophosa

• stavite ih u direktorij u kojem se nalazi Sophos (obično %ProgramFiles%\Sophos Sweep)

• pokrenite računalo u DOS

• programom %ProgramFiles%\Sophos Sweep\sweep.exe provjerite i očistite računalo

Windows NT-klasa:

• preuzmite IDE datoteke sa Sophosovih stranica za trenutno instliranu inačicu Sophosa

• stavite ih u direktorij u kojem se nalazi Sophos (obično %ProgramFiles%\Sophos Sweep for NT)

• pokrenite računalo u Safe mode with Command prompt

• programom %ProgramFiles%\Sophos Sweep for NT\sav32cli.exe provjerite i očistite računalo

Zaštita od infekcije

• zaštita na poslužiteljima elektroničke pošte

• zabrana slanja/primanja izvršnih datoteka (.exe, .com, .bat, .cmd, .pif, .doc (macro), ...)

• poduka krajnjih korisnika

Ostalo

• Sophos - Podaci o crvu

• Alat za uklanjanje

Sažetak svojstava