W32/Netsky-D
(1. ožujka 2004.)
Sophos nas je obavijestio o pojavi novog crva W32/Netsky-D za koji je Sophos Plc primio veći broj prijava otkrivanja. Qubis d.o.o. je do sada primio mali broj dojava otkrivanja ovog crva u Hrvatskoj. Crv W32/Netsky-D prepoznavat će Sophos Anti-Virus za travanj 2004. (v.3.80).
Instalacije svih korisnika koji koriste EMLibrary, Sophosov alat za automatizirano dograđivanje putem Interneta, dograđene su automatski 1. ožujka 2004., kada je objavljena prva verzija ove dogradnje ili nakon toga, ovisno o tome kako je podešena učestalost dograđivanja.
Svim korisnicima preporučujemo da, ako već nisu, svoje programe Sophos Anti-Virus odmah dograde hitnom dogradnjom za prepoznavanje ovog crva, koju možete naći na http://www.sophos.com/downloads/ide/.
W32/Netsky.c@MM
Širi se elektroničkom poštom.
Elektronička poruka s inficiranom datotekom može sadržavati sljedeće dijelove:
| Pošiljatelj (From:) |
(slučajno odabrana adresa) |
| Primatelj (To:) |
(slučajno odabrana adresa) |
| Subjekt (Subject:) |
|
| Poruka (Message:) |
|
| Privitak (Attachment:) |
Naziv datoteke:
|
Kada se aktivira, može prikazati lažnu poruku ""The file could not be opened" ("Ne mogu otvoriti datoteku."), ali se crv aktivira. Na računalu pretražuje datoteke MSG, OFT, SHT, DBX, TBB, ADB, DOC, WAB, ASP, UIN, RTF, VBS, HTML, HTM, PL, PHP, TXT i EML iz kojih prikuplja elektroničke adrese na koje će poslati inficirane poruke.
Kreira sljedeću datoteku:
i u registry dodaje:
kako bi osigurao automatsko aktiviranje pri sljedećem pokretanju računala.
Pretražuje datoteke na particijama od C: do Z: u potrazi za elektroničkim adresama.
Automatsko uklanjanje
Sophosovim alatom za uklanjanje crva.
Windows 9X klasa:
preuzmite IDE datoteke sa Sophosovih stranica za trenutno instaliranu inačicu Sophosa
stavite ih u direktorij u kojem se nalazi Sophos (obično %ProgramFiles%\Sophos Sweep)
pokrenite računalo u DOS
programom %ProgramFiles%\Sophos Sweep\sweep.exe provjerite i očistite računalo
uklonite u registry-ju stavke koje postavlja crv
Windows NT-klasa:
preuzmite IDE datoteke sa Sophosovih stranica za trenutno instliranu inačicu Sophosa
stavite ih u direktorij u kojem se nalazi Sophos (obično %ProgramFiles%\Sophos Sweep for NT)
pokrenite računalo u Safe mode with Command prompt
programom %ProgramFiles%\Sophos Sweep for NT\sav32cli.exe provjerite i očistite računalo
uklonite u registry-ju stavke koje postavlja crv
zaštita na poslužiteljima elektroničke pošte
zabrana slanja/primanja izvršnih datoteka (.exe, .com, .bat, .cmd, .pif, .doc (macro), ...)
poduka krajnjih korisnika
| Širenje | |
| Elektroničkom poštom | R |
| Lažna adresa u polju 'From:' | R |
| Dijeljene mrežne mape | Q |
| 'Peer-2-peer' mreže | Q |
| Ostalo | Q |
| Aktivnost | |
| Zaustavlja Sophosove servise | Q |
| Mijenja registry | R |
| Kreira / mijenja datoteke | R |
| Omogućava backdoor pristup | Q |
| Otvara port | Q |
| Bilježi aktivnosti tipkovnice (KeyLogging) | Q |
| Automatski se obnavlja | Q |
| Uklanjanje | |
| Uklanjanjem (DOS ili Safe mode + cmd prompt) | R |
| Promjenom registry-ja | R |
| Čišćenjem datoteka | Q |
| Uklanjanjem datoteka | R |
| Zaštita | |
| Primjenom servisnog paketa ili sigurnosne zakrpe za OS ili napadnutu aplikaciju | ? |
| Filtriranjem sadržaja na proxy poslužitelju | Q |
| Filtriranjem sadržaja na poslužitelju elektroničke pošte | R |
| Aktiviranjem vatrozida | Q |
| Podukom korisnika o sigurnom korištenju Interneta | R |