NetSky: eksperci ostrzegają przed nowym robakiem

Producenci oprogramowania antywirusowego ostrzegają przed nowym robakiem internetowym, który od początku tygodnia coraz intensywniej rozprzestrzenia się w Sieci. Insekt, określany jako NetSky.A, w błyskawicznym tempie zyskał 'młodszego brata' - odmianę o nazwie NetSky.B. Obie odmiany wirusa rozsyłają się pod postacią e-maila z losowo generowanym tytułem oraz załącznikiem, którego uruchomienie powoduje aktywację robaka. Producenci programów antywirusowych zareagowali błyskawicznie - dostępne są już szczepionki eliminujące robaka.

'Obudzony' NetSky (występujący także pod nazwami W32/Netsky.b@MM [McAfee], W32/Netsky.B.worm [Panda], WORM_NETSKY.B [Trend Micro], Moodown.B [F-Secure], I-Worm.Moodown.b [Kaspersky] oraz Win32.HLLM.Foo.41984 [Dr.WEB]) w pierwszej kolejności próbuje wyłączyć zainstalowane na komputerze ofiary oprogramowanie antywirusowe, następnie rozsyła się pod wszystkie dostępne w książce adresowej kontakty i zapisuje swoje kopie na współdzielonych dyskach sieciowych. Przypuszcza się, iż jednym ze sposobów propagacji robaka mogą być także sieci P2P - przykładowo Kazaa, BearShare czy też LimeWire. Ze wstępnych analiz przeprowadzonych przez ekspertów wynika, iż NetSky nie posiada żadnej ukrytej procedury, która pozwoliłaby wykorzystać zainfekowane maszyny do przeprowadzenia jakiegokolwiek ataku na inne komputery.

NetSky.B może przybrać postać emaila o blisko 50 różnych tytułach (przykładowo "something for you", "hello", "fake") i zazwyczaj zawiera załącznik o podwójnym rozszerzeniu - często stosowany przez autorów wirusów trick. Tak jak w przypadku osławionego już MyDooma, załącznik ten może mieć również postać skompresowanego pliku ZIP. Specjaliści z MKS'a informują również o procedurze "zaszywania się" robaka w systemie. Po uruchomieniu tworzy on na dysku swoją kopię w pliku o nazwie c:\windows\services.exe lub c:\winnt\services.exe i modyfikuje systemowy Rejestr - tak, by jego kopia była automatycznie uruchamiana przy każdym starcie komputera. Do rozsyłania NetSky używa własnego silnika SMTP. Dość wyraźnym symptomem zainfekowania drugą odmianą NetSky - NetSky.B, może być również komunikat o treści "The file could not be opened", który pojawia się po jego aktywacji w systemie.

Przedstawiciele Network Associates informują o 40 - 50 kopiach robaka otrzymywanych każdej godziny. Co ciekawe, większość zarażonych przesyłek pochodzi głównie z Holandii i innych regionów Europy. Producenci oprogramowania antywirusowego już zaktualizowali definicje swoich produktów i zalecają ich natychmiastową aktualizację.

Jak powiedziała nam Magda Sawicka z polskiego oddziału Symanteca - "Ze względu na rosnącą liczbę zgłoszeń nadsyłanych do centrum reagowania Symantec Security Response, poziom zagrożenia wywołany robakiem NetSky został podniesiony z kategorii 3 do 4, w pięciostopniowej skali Symantec Security Response, gdzie 1 oznacza najniższy zaś 5 najwyższy poziom zagrożenia."

Czołowi producenci oprogramowania antywirusowego przygotowali już szczepionki przeciwko robakowi NetSky - są one dostępne na naszym serwisie FTP.

Produkt firmy MKS Sp. z o.o:

http://www.pcworld.pl/ftp/pc/programy/2838/MKS.Clean.W32.NetSky.A..html

Produkt firmy G DATA Software Sp.z o.o.:

http://www.pcworld.pl/ftp/pc/programy/2905/Szczepionki.G.DATA.Software.Sp.z.o.o..W32.Netsky.B..html

Produkt firmy Symantec:

http://www.pcworld.pl/ftp/pc/programy/2903/Symantec.W32.NetSky.B.mm.Fix.Tool.1.0.0.0.html

Produkt firmy Panda Software:

http://www.pcworld.pl/ftp/pc/programy/2904/Panda.QuickRemover.W32.NetSky.B.3.5.1.11.html

Produkt firmy Network Associates:

http://www.pcworld.pl/ftp/pc/programy/2722/McAfee.AVERT.Stinger.2.0.2.html

Produkt firmy Sophos:

http://www.pcworld.pl/ftp/pc/programy/2906/Sophos.System.disinfection.for.W32.NetSky.1.01.html

Aby ułatwić ich pobieranie dostępne narzędzia zostały spakowane i w postaci jednego pliku są dostępne pod następującym adresem: http://www.idg.pl/ftp/pobierz_netsky.asp


Zobacz również