CA ประกาศเตือนป้องกันไวรัส

ชื่อไวรัส:

Win32.Netsky.C (http://www.3.ca.com/virusinfo/virus.aspx?ID=38460)

Win32.Netsky.C เป็นไวรัสตัวหนอนที่แพร่กระจายทางอีเมล์และเครือข่ายแบบ Peer-to-peer ไวรัส ดังกล่าวเป็น Win32 executable ไฟล์ซึ่งมีขนาด 28,160 ไบต์ (ตามมาตรฐาน ASPack) หรือ 25,353 ไบต์ (ตามมาตรฐาน PEtitie) โดยจะแฝงตัวเข้ามาในรูปของไอคอนไมโครซอฟต์ เวิร์ด แพด และอาจพบใน zip file เช่นกัน

วันที่ประกาศเตือน: 27 กุมภาพันธ์ พ.ศ. 2547

วิธีการแพร่กระจาย :

ทางอีเมล์ (กรุณาตรวจสอบจาก URL ที่กล่าวถึงด้านบนหากต้องการตัวอย่างมากกว่านี้)
เช่น document.txt.exe, associal.rtf.scr การแนบไฟล์อาจส่งมาในรูปแบบ Zip ไฟล์ เช่น document.zip, associal.zip ไวรัสดังกล่าวมี 25 IP addresses ในเซิร์ฟเวอร์ DNS เฉพาะซึ่งใช้เข้าสู่ mail server address โดยมีเป้าหมายเข้าสู่ e-mail ต่างๆ

ทางการแชร์ข้อมูล P2P ไฟล์ (กรุณาเช็ค URL ข้างบนหากต้องการตัวอย่างมากว่านี้)

ไวรัสนี้จะเข้าสู่ไดร์ฟ C จนถึง Z แต่ไม่พยายามเข้าไดร์ฟซีดีรอม ผ่านทางการติดตั้งเมื่อเครื่องทำงาน ไวรัสนี้จะสร้าง mutex ชื่อว่า “[SkyNet.cz]SystemsMutex” เพื่อหลีกเลี่ยงการทำงานที่ซ้ำซ้อน มันจะก็อปปี้ตัวเองไปที่ %Windows%WINLOGON.EXE ไวรัสจะเพิ่มค่า Registry ของ Windows เพื่อรับประกันได้ว่ามันจะทำงานทุกครั้งที่เริ่มใช้ Registry
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunICQ Net = “%Windows%winlogo.exe-stealth”

ข้อควรจำ :

‘Windows%’ เป็นตำแหน่งติดตั้งที่สามารถเปลี่ยนแปลงได้ ไวรัสนี้จะหาตำแหน่งของโฟลเดอร์วินโดว์ปัจจุบันโดยการถามระบบปฏิบัติการ ตำแหน่งการติดตั้งที่ถูกกำหนดไว้ตั้งแต่แรกของวินโดวส์สำหรับวินโดว์ 2000 และ NT คือ C:Winnt; for 95, 98 และ Me คือ C:Windows; และสำหรับ XP คือ C:Windows

Payload:

ไวรัสลบค่าของ Registry เหล่านี้ซึ่งบางส่วนเกี่ยวพันกับไวรัสตัวอื่นๆ :

HKLMSOFTWAREMicrosoftCurrentVersionRunTaskmon

HKCUSOFTWAREMicrosoftCurrentVersionRunTaskmon

HKLMSOFTWAREMicrosoftCurrentVersionRunExplorer

มันยังลบ Registry Key เหล่านี้ด้วย รวมทั้งค่าอื่นๆภายใน :

HKCRCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32

เสียงเจ้าปัญหา

ถ้าวันระบบคือวันที่ 27 กุมภาพันธ์ 2547, และตามชั่วโมงของวัน คือ 6, 7 หรือ 8 ไวรัสดังกล่าวจะส่งเสียงบี๊บๆผ่านลำโพงของเครื่องอย่างต่อเนื่องทุกๆ 0.05 วินาที