Dall’inizio di questa settimana circolano le versioni S e T del popolare worm. A differenza delle precedenti, queste edizioni cercano di sfruttare le backdoor
8 aprile 2004 E’ di nuovo allarme Netsky. Dall’inizio di
questa settimana circolano infatti le varianti S e T del worm
che, a differenza dei predecessori, cercano di sfruttare le backdoor dei computer
infetti.
In particolare, Netsky.S apre la porta TCP 6789 e punta a
un attacco di tipo DOS (Denial Of Service) a determinati siti
in date predefinite. Nel mirino ci sono, fra gli altri, i siti di Kazaa
ed Emule nel periodo che da 14 al 23 aprile. Come le varianti
precedenti, Netsky.S si propaga attraverso un proprio motore SMTP prelevando
gli indirizzi da file del computer ospite.
L’oggetto della e-mail può variare: i più
diffusi sono Hello, Hi!, Re: My details, Your information, Re: Approved, Re:
Your document, oppure una combinazione di questi. Il file in allegato è
un documento di tipo PIF.
Il worm si installa come file EASYAV.EXE nella directory di
Windows e aggiunge la seguente chiave nel registro di sistema: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run "EasyAV" = %WinDir%\EASYAV.EXE
Il livello di allarma di Netsky.S è stato definito medio
da parte di McAfee. Per maggiori informazioni sul virus e le istruzioni per
rimuoverlo, fate riferimento a questa pagina di McAfee.
