0 - to je skoro jiste - falsuje adresy 1 - smazat a zapomenout 2 - Po spuštění infikované přílohy dojde k zobrazení varovného dialogu s nápisem "The file could not be opened!", který by měl zabránit dojmu, že jde o virus. Možná by se tomu dalo věřit, nebýt dalších aktivit :-) Virus Win32/NetSky.B se urychleně usadí do souboru services.exe v adresáři Windows a zajistí jeho automatické spuštění po každém startu Windows. Děje se tak prostřednictvím položky registrů v klíči: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run. O dokonalý sběr dalších e-mailových adres, na které bude tento virus rozeslán je postaráno díky funkci, procházející všechny disky od C: až po Z: (ne DVD/CD-ROM mechaniky) a sbírající adresy z celé řady souborů... Na stejných discích hledá i adresáře, které v názvu obsahují posloupnost znaků "Sharing" / "Share" a do těchto adresářů vkládá infikované EXE soubory s lákavými názvy. Jde tak alternativní cestu šíření za předpokladu, že například "Shared" adresář bude opravdu síťově nasdílen. Úspěch bude slavit i v případě peer-to-peer sítě Kazaa, jelikož sdílené programy jsou v adresáři "My Shared Folder" obsahující výše uvedený řetězec. Zajímavostí je, že NetSky likviduje některé položky v registrech, který by měly zabránit šíření "konkurenčních virů". Jde především o akce proti viru Win32/Mydoom. Zdenek ----- Original Message ----- From: "Ivan Zacek" <zacekivan@volny.cz> To: <servis-internet@nawebu.cz> Sent: Thursday, March 25, 2004 8:58 AM Subject: Fwd: AVG pro Lotus Notes nalezlo vir(y) v následující poštovní zprávě: Dobry den This is a forwarded message From: centrala/Julius-Meinl%JULIUS-MEINL@julius-meinl.cz <centrala/Julius-Meinl%JULIUS-MEINL@julius-meinl.cz> To: zacekivan@volny.cz Date: Thursday, March 25, 2004, 8:34:57 AM Subject: AVG pro Lotus Notes nalezlo vir(y) v následující poštovní zprávě: ===8<==============Original message text=============== Od: zacekivan@volny.cz Pro: marketing@julius-meinl.cz Odeslána: 25.03.2004 08:25:36 Věc: stolen Nalezen virus I-Worm/Netsky.B v souboru product.doc.exe ===8<===========End of original message text=========== 0 Ja jsem jim nepsal. 1 Mam se timto mailem zabyvat? 2 Co ten vir dela? -- Dekuji Ivan Žáček <zacekivan@volny.cz> http://www.volny.cz/zacekivan - moje osobni stranky s bezbarierovymi linkamiReceived on Thu, 25 Mar 2004 09:33:22 +0100
This archive was generated by hypermail 2.1.8 : 25. 03. 2004, 09:33 CET