Статьи
Одной из опаснейших разновидностей вирусов, которая возникла в последнее время, является червь почтовой
рассылки Win32.HLLM.Netsky.35328. Этот вирус рассылается через различные электронные почтовые службы в качестве
прикрепляемого файла. Червь имеет различные названия I-Worm.Netsky.q, ZIP.Netsky.P, Win32/Netsky.P.Worm,
W32/Netsky.P@mm, Win32.Netsky.P, W32/Netsky.p@MM, W32/Netsky.P.worm, W32/Netsky-P, WORM_NETSKY.P и другие.
Данный червь атакует такие операционные системы, как Windows 95/98/ME/NT/2000/XP. Основной путь распространения
червя – электронная почта. При этом, червь применяет собственную реализацию протокола SMTP. При внедрении в
компьютер пользователя, данный червь распространяется по электронной почте, при этом удаляет различные ключи из
системного реестра. Основной признак заражения червем – это наличие в компьютере таких файлов, как FVProtect.exe,
userconfig9x.dll, base64.tmp, zip1.tmp, zip2.tmp, zip3.tmp, zipped.tmp в директории Windows
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Norton Antivirus AV = \WinDir\FVProtect.exe.
Червь имеет небольшой размер, который составляет 29568 байт. При проникновении червь использует различные
уязвимости MIME заголовков. После открытия письма данный червь автоматически запускается и в MS Outlook и в MS
Outlook Express, а также и в других почтовых клиентах. Вирус избирательно воздействует на все фалы, которые имеют
расширения - xml, wsh, jsp, msg, oft, dbx, tbb, adb, dhtm, cgi, shtm, uin, rtf, vbs, doc, wab, asp, php, txt, eml, html, htm, pl.
При этом, расширение самого вируса может быть различным. Так, встречаются вирусы с расширениями .zip, .scr, .exe
или .pdf
Основные названия, который использует вирус для копирования себя в установочных файлах: The Sims 4 beta.exe, Lightwave
9 Update.exe, Ulead Keygen 2004.exe , Smashing the stack full.rtf.exe, Internet Explorer 9 setup.exe, Opera 11.exe, DivX 8.0
final.exe, WinAmp 13 full.exe, Cracks & Warez Archiv.exe, Visual Studio Net Crack all.exe, ACDSee 10.exe, MS Service Pack 6.exe,
Clone DVD 6.exe, Magix Video Deluxe 5 beta.exe, Star Office 9.exe, Partitionsmagic 10 beta.exe, Gimp 1.8 Full with Key.exe
Norton Antivirus 2005 beta.exe, Windows 2000 Sourcecode.doc.exe, Keygen 4 all new.exe, 3D Studio Max 6 3dsmax.exe, 1001 Sex
and more.rtf.exe, FC compilation.doc.exe, Dictionary English 2004 - France.doc.exe, Win Longhorn re.exe, WinXP eBook,
newest.doc.exe, Learn Programming 2004.doc.exe, How to hack new.doc.exe, Doom 3 release 2.exe, E-Book Archive2.rtf.exe,
netsky source code.scr и не которые другие.
Червь также может удалять из системного реестра такие ключи, как:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Explorer
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msgsvr32
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winupd.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\direct.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\jijb
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\DELETE ME
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Sentry
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\system.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\service
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Taskmon
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Video
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows Services Host
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Video
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\system.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Explorer
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Taskmon
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows Services Host
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OLE
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rate.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ssate.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\gouday.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\direct.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winupd.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\d3dupdate.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\au.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\srate.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysmon.exe
HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
HKLM\System\CurrentControlSet\Services\WksPatch
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\PINF
Для лечения данного вируса необходимо выйти в безопасный режим и после применить надежный антивирус (Kaspersky,
NOD) или другой не менее надежный, чтобы просканировать все диски компьютера, затем следует применить действия –
«Лечить» и восстановить реестр компьютера с использованием резервной копии.