Portugál nyelvű e-mailben érkezik a Netsky féreg legújabb változata

Az AVERT, a McAfee vírusszakértői csoportja már felfedezése napján "közepesen veszélyes" kategóriába sorolta be a W32/Netsky.ag@MM férget. A közlemény szerint az új variáns egyaránt veszélyt jelent az otthoni és a vállalati felhasználók számára.

Hogy ismerjük fel a fertőzést?

A Netsky.ag egyik szembetűnő sajátsága, hogy elindulásakor megjelenít egy "File corrupted replace this!" üzenetet. Ha ez az üzenet megjelenik monitorunkon, akkor gépünk már megfertőződött, mivel rákattintottunk a virusos küldemény csatolmányára, és ezzel aktivizáltuk a kártevőt.

A W32/Netsky.ag@MM féreg is tartalmaz egy saját SMTP levelezőmotort, amellyel -- hamis feladót feltüntetve -- továbbküldi magát a számítógépen található fájlokból kigyűjtött címekre. A féreg által elküldött fertőzött üzenetek véletlenszerűen választott, portugál nyelvű szöveget tartalmazó tárgymezővel mennek ki. A levéltörzs -- a levél tárgyához hasonlóan -- szintén egysoros, portugál nyelvű, véletlenszerűen kiválasztott szövegekből áll. A féreg az elektronikus levelezésen túl a helyi hálózatokon és peer-to-peer rendszereken keresztül is terjed, bemásolja magát minden olyan helyi könyvtárba, melynek nevében szerepel a "share" vagy "sharing" szövegrész, a hálózati megosztásokba és P2P megosztott mappákba.

A féreg eltávolítása manuálisan is megoldható. A számítógépet ehhez csökkentett üzemmódban kell újraindítani, majd törölni kell a Windows könyvtárából a vírust tartalmazó MsnMsgrs.exe fájlt. A munka ezzel azonban még nem ért véget, mivel a regisztrációs adatbázisban is el kell végezni a féregprogramot indító változó törlését: a HKLMSoftwareMicrosoftWindowsCurrentVersion Run kulcs alatt törölni kell az MsnMsgrs.exe változót. A rendszert ezután normál üzemmódban kell indítani, majd felkutatni, és törölni a féregprogram összes másolatát, amelyeket a Windows könyvtárában, valamint a megosztott helyi, hálózati és P2P mappákban rejtett el.