Компьюлента. 1 марта 2004 года, 23:25
"Лаборатория Касперского" предупреждает об обнаружении новой вирусной эпидемии, вызванной четвертой модификацией сетевого червя Netsky с индексом D (другое название - Moodown.D). На данный момент уже получено несколько десятков сообщений о случаях заражения компьютеров.
Netsky.D, как и предыдущие версии Netsky распространяется по электронной почте. Зараженные сообщения могут иметь самый разный внешний вид: червь случайным образом выбирает заголовок из 25 вариантов, текст письма из шести вариантов и имя вложенного файла из 21 варианта.
Вложенный файл имеет фиктивное расширение .pif, в действительности представляя собой обычный exe-программу размером около 17 кб. Если пользователь имел неосторожность запустить этот файл, то червь устанавливает себя в систему и запускает процедуры распространения.
При установке Netsky.D копирует себя с именем winlogon.exe в каталог Windows и регистрирует этот файл в ключе автозапуска системного реестра, обеспечивая свою активизацию при каждой загрузке операционной системы.
Для дальнейшей рассылки червь сканирует файлы wab, eml, doc, html, msg и другие, считывает из них адреса электронной почты и незаметно для владельца компьютера отсылает на них свои копии. Важно отметить, что рассылка писем осуществляется в обход установленного на компьютере почтового клиента с использованием встроенной SMTP-подпрограммы. С ее помощью вирус распространяется через 23 прокси-сервера, расположенных в разных концах мира. Червь имеет ряд побочных действий. В частности, он удаляет из системного реестра ключи другого сетевого червя - "Mydoom", а также пытается нарушить работу антивирусных программ.