დამეხმარეთ! მეილით როცა რაიმე ფაილს ვგზავნი, უკან მომდის ასეთი სახოს წერილი
This part of message has been infected and was deleted!
Dr. Web report:
infected with Win32.HLLM.Netsky.based
თან კიდევ კომპს რაღაც უცნაური რამ სჭირს თავისთავად ითიშება ხოლმე ანუ გეგონება შუქი წავიდა და ისევ მოვიდაო
დამეხმარეთ რით ვუშველო?
* * *
აი ნეტში ვიპოვე ინფორმაცია ამ ვირუსის შესახებ. მირჩიეთ რომელი ანტივირუსით მოვიშორო!
http://antivir.ru/inf/virus.php?id=603Наименование вируса: Win32.HLLM.Netsky.based [Netsky.D]
Добавлен в вирусную базу Dr.Web
01 марта 2004 г. в 17:59:04 MSK - горячее дополнение
Другие названия:
WORM_NETSKY.D, W32.Netsky.D@mm, W32/Netsky.d@MM, W32/Netsky-D, NetSky.D, I-Worm.Netsky.d, W32.Netsky.C@mm, W32.Netsky.gen@mm
Тип:
почтовый червь массовой рассылки
Имена файлов, используемые вирусом:
WINLOGON.EXE
Уязвимые операционные системы:
Windows 95/98/Me/NT/2000/XP
Признаки инфицирования:
наличие в директории Windows файла WINLOGON.EXE
наличие в системном реестре ключа:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"ICQ Net" = "%Windir%\WINLOGON.EXE -stealth"
Описание вируса:
Win32.HLLM.Netsky.based - почтовый червь массовой рассылки. Поражает компьютеры под управлением операционных систем Windows 95/98/Me/NT/2000/XP. Размер исполняемого модуля червя в упакованном виде (PEtite) - 17 424 байта.
Червь распространяется по электронной почте, используя собственную реализацию протокола SMTP. В пораженном компьютере удаляет из системного реестра ключи, модифицируемые червями Win32.HLLM.MyDoom.48128 и Win32.HLLM.MyDoom.32768.
Способы распространения:
Червь распространяется по электронной почте, используя собственную реализацию протокола SMTP. В поисках адресов для рассылки червь сканирует жесткие диски локального компьютера. Ревизии подвергаются файлы на жестких и отображаемых дисках от С до Z со следующими расширениями:
adb
asp
cgi
dbx
dhtm
doc
eml
htm
html
msg
oft
php
pl
rtf
sht
shtm
tbb
txt
uin
vbs
wab
Червь не производит рассылку по адресам, в которых присутствуют следующие строки:
abuse
fbi
orton
f-pro
aspersky
cafee
orman
itdefender
f-secur
avp
skynet
spam
messagelabs
ymantec
antivi
icrosoft
Почтовое сообщение, инфицированное червем, может выглядеть следующим образом:
Тема сообщения начинается с префикса RE: за которым следует одна из следующих тем:
Details
Document
Excel file
Hello
Here
Here is the document
Hi
My details
Document
Message
Your document
Thanks!
Thanks!
Word file
Your archive
Your bill
Your details
Your document
Your letter
Your music
Your picture
Your product
Your software
Your text
Your website
Текст сообщения может быть одним из следующих:
Your file is attached.
Please read the attached file.
Please have a look at the attached file.
See the attached file for details.
Here is the file.
Your document is attached.
Наименование вложения всегда содержит расширение .pif и выбирается червем из следующего списка
your_website
your_product
your_letter
your_text
all_document
application
yours
your_archive
your_bill
your_details
your_document
your_file
your_picture
document_4351
document_word
document_excel
message_details
my_details
document
document_full
message_part2
mp3music
Инфицирование системы:
Будучи активированным, червь создает в системе семафор [SkyNet.cz]SystemsMutex. Далее, он помещает в директорию Windows (в Windows 9x/ME/XP это C:\Windows, в Windows NT/2000 это C:\WINNT ) свою копию WINLOGON.EXE. .
Чтобы обеспечить автоматический запуск своей копии при каждой перезагрузке Windows червь вносит данные
"ICQ Net" = "%Windir%\WINLOGON.EXE -stealth"
в реестровую запись
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Червь производит следующие изменения в системном реестре:
Удаляет данные
"au.exe"
"d3dupdate.exe"
"Explorer"
"KasperskyAv"
"OLE"
"Taskmon"
“Windows Services Host”
из ключа системного реестра
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Удаляет данные "DELETE ME"
"Explorer"
"KasperskyAv"
"msgsvr32"
"Sentry"
"service"
"system."
"Taskmon"
“Windows Services Host”
из ключа системного реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Удаляет реестровую запись
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
С 6 до 9 утра 2 марта червь заставляет динамики компьютера издавать резкие звуки.