Britney Spearstől vagy Eminemtől érkezik a Netsky.P féregvírus

[Morpho] Március 22-én, hétfőn a Trend Micro TrendLabs közepes szintű riasztást adott ki a Netsky.P variánsáról. A Trend Micro eddig Európából és az Egyesült Államokból kapott jelentéseket erről a variánsról. A féreg a következő eleme a már jól ismert vírusháborúnak, amely a Netsky és a Bagle készítői között folyik.

A Bagle.Q variánshoz hasonlóan a Netsky.P is egy Internet Explorer biztonsági rést használ ki. A féreg Britney Spears, Eminem és más híres emberek nevét használja az elküldött fájlokban, az üzenet szövege pedig az egyes vírusvédelmi cégek által küldött jelentésekre emlékeztet, amelyekben értesítik a felhasználót, hogy nem találtak vírust.

Amikor a Netsky.P megfertőzött egy számítógépet, bizonyos bejegyzéseket hoz létre a rendszerleíró adatbázisban, így a Windows indításakor futtatja magát, illetve további rendszerleíró adatbázis bejegyzésekkel szolgáltatásként regisztrálja magát. A féreg különböző kulcsokat töröl a rendszerleíró adatbázisból, ha azok léteznek.

A Netsky.P különböző technikákat használ fel a terjedéshez. E-mailen keresztül a saját SMTP rutinjának segítségével terjed, az általa küldött e-mail különböző tárgysorokat, szöveget és különböző nevű csatolt fájlokat tartalmaz. Az e-mail címeket bizonyos kiterjesztésű fájlokból gyűjti. A hálózati megosztásokon is képes terjedni, mivel másolatait a fertőzött rendszer megosztott mappáiba helyezi.

Ez az első Netsky variáns, amely az Internet Explorer egy ismert hibáját -- jelen esetben az érvénytelen MIME fejléc okozta sérülékeny pontot -- használja ki a rosszindulatú kód futtatásához. A nemrégiben megjelent és múlt héten a hírekben előkelő helyen szereplő Bagle.Q variáns is hasonló technikát használt.