Ingezonden persbericht
Panda Software rapporteert over de nieuwe Netsky.R worm
Om gebruikers te verwarren, creëert het een bestand op de pc van het slachtoffer met de naam PandaAVEngine.exe dat eigenlijk een kopie is van de code van de worm
Vilvoorde, 31 maart 2004 - PandaLabs heeft de nieuwe R variant van Netsky (W32/Netsky.R.worm) ontdekt. Dit is een nieuwe variant van de kwaadaardige code die, samen met de Mydoom en Bagle families, verantwoordelijk waren voor de grootste golf virussen ooit in de geschiedenis van de computer.
Netsky.R verspreidt zich via e-mail in een boodschap met de volgende karakteristieken:
Onderwerp:
Re: Document (willekeurig getal)
Boodschap tekst:
Excuse me,
the important document is attached,
Yours sincerely
Attachment:
Document (willekeurig getal).pif
Als het bestand gestart wordt, wordt het gestuurd naar alle adressen die het kan vinden in bestanden met de volgende extensies: .eml, .txt, .php, .asp, .wab, .doc, .sht, .oft, .msg, .vbs, .rtf, .uin, .shtm, .cgi, .dhtm, .adb, .tbb, .dbx, .pl, .htm, .html, .jsp, .wsh, .xml, .cfg, .mbx, .mdx, .mht, .mmf, .nch, .ods, .stm, .xls, en .ppt.
Netsky.R creëert ook een bestand in de Windows directory met de naam PandaAVEngine.exe, dat eigenlijk een kopie van het virus bevat. Dit is een poging van de ontwikkelaars van Netsky.R om gebruikers te laten denken dat het bestand deel uitmaakt van een van de producten van Panda Software. Dit is, uiteraard, niet het geval. En als de antivirus dit bestand detecteert, zal het dit bestand elimineren, net als de antivirus zou doen met alle andere bestanden die kwaadaardige code bevatten.
Wanneer het bestand eerst wordt gestart, zal het twee andere bestanden - met de namen temp09094283.dll en uinmzertinmds.opm - op de computer genereren. Netsky.R is ontworpen om denial of service aanvallen (DoS) te starten tegen: www.emule.de; www.cracks.am; www.emule-project.net; www.kazaa.com; en www.keygen.us - tussen 12 en 16 april.
Daarna maakt Netsky.R een toegang tot de Windows registers en wist het vele andere bestanden, gerelateerd aan de wormen Mydoom, Bagle of Mimail.
Om de effecten van een mogelijke infectie van Netsky.R te verwijderen, heeft Panda reeds updates voor zijn producten beschikbaar. Zo zijn de Panda klanten ervan verzekerd dat hun oplossing Netsky.R kan detecteren en elimineren. Klanten, wiens software zo is ingesteld dat de updates niet automatisch gebeuren, kunnen hun oplossingen updaten op http://www.pandasoftware.com.
Gebruikers kunnen deze en andere kwaadaardige code ook detecteren en desinfecteren door gebruik te maken van de gratis online antivirus, Panda ActiveScan, die beschikbaar is op de bedrijfswebsite http://www.pandasoftware.com.
Meer informatie over Netsky.R van de Panda Software s Virus Encyclopedia.
Over Panda Software Virus Lab
Bij ontvangst van elk mogelijk geïnfecteerd bestand gaat de technische staf van Panda Software onmiddellijk aan de slag. Het bestand wordt geanalyseerd en afhankelijk van het bestandstype kunnen volgende acties ondernomen worden; demonteren, macro scanning, code analyse, & Als het bestand een nieuw virus bevat, worden desinfectie- en detectieroutines opgesteld en verstuurd naar de gebruikers.