Antivirus and Security Software from Sophos

W32/Netsky-Z

Alias
  • I-Worm.NetSky.aa
  • W32/Netsky.z@MM
  • Win32/Netsky.Z
  • W32.Netsky.Z@mm
  • WORM_NETSKY.Z
Catégorie
Type
Action à mener
Prévalence faible Forte

Récapitulatif

 
Comment il se propage
  • Messages électroniques
Systèmes d'exploitation affectés Windows
Protection disponible depuis 21 avril 2004 23:24:54 (GMT)
Détecté par Tous les produits Sophos
Download Détection des virus gratuite
Test de détection des menaces
  • Détection gratuite des virus et spywares
  • Vérification de votre protection antivirus actuelle
  • Votre antivirus est-il vraiment efficace ?

Action

Veuillez suivre les instructions de suppression des vers.

Windows NT/2000/XP/2003

Dans Windows NT/2000/XP/2003, vous devez aussi modifier l'entrée suivante du registre. La suppression de cette entrée est facultative dans Windows 95/98/Me. Veuillez lire l'avertissement concernant la modification du registre.

Dans la Barre des tâches, cliquez sur Démarrer|Exécuter. Saisissez "Regedit" et appuyez sur Entrée. L'éditeur de registre s'ouvre.

Avant de modifier le registre, effectuez une sauvegarde. Dans le menu "Registre", cliquez sur "Exporter un fichier du Registre". Dans la zone "Etendue de l'exportation", cliquez sur "Tout", puis enregistrez votre registre sous Backup.

Recherchez l'entrée HKEY_LOCAL_MACHINE : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ Jammer2nd = <WINDOWS>\Jammer2nd.exe

et supprimez-la si elle existe.

Fermez l'éditeur du registre.

Plus d'informations

W32/Netsky-Z est un ver Internet qui se propage en s'envoyant à des adresses trouvées dans des fichiers présents sur l'ordinateur local.

Lorsqu'il est exécuté pour la première fois, W32/Netsky-Z se copie dans le dossier Windows sous le nom Jammer2nd.exe et, pour que Jammer2nd.exe s'exécute automatiquement à chaque démarrage de Windows, crée dans le registre l'entrée suivante :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ Jammer2nd = <WINDOWS>\Jammer2nd.exe

Les copies du ver sous forme crypté en base64 et ZIP sont créées dans le dossier Windows avec des noms correspondant à pk_zip?.log où '?' est un nombre.

Les courriels utilisent un objet et un message sélectionnés aléatoirement parmi les suivants :

Objets :

Information Hi Document Important

Corps du message :

Important bill! Important notice! Important document! Important data! Important textfile! Important details! Important informations! Important! Important notice!

Pièce jointe (archive Zip) :

Bill.zip Notice.zip Important.zip Data.zip Textfile.zip Details.zip Part-2.zip Informations.zip

W32/Netsky-Z ouvre aussi un port de surveillance sur TCP 665

Le ver lancera après le 5 mai 2004 une attaque par déni de service sur les sites suivants :

www.educa.ch www.medinfo.ufl.edu www.nibis.de

RSS|Atom
Rapports sur les menaces de virus et de spywares les plus récentes envoyées à votre ordinateur