|
|
|
|
|
Symantec.com > Empresas > Security Response > W32.Netsky.P@mm
IMPRIMIR ESTA PÁGINA

W32.Netsky.P@mm

Nível do risco3: Moderado

Descoberto:
21 de Março de 2004
Atualizado:
13 de Fevereiro de 2007 12:21:39 PM
Também conhecido como:
W32.Netsky.Q@mm, W32/Netsky.p@MM [McAfee], Win32.Netsky.P [Computer Assoc, NetSky.P [F-Secure], W32/Netsky.P.worm [Panda], W32/Netsky-P [Sophos], WORM_NETSKY.P [Trend]
Tipo:
Worm
Extensão da infecção:
29,568 bytes
Sistemas afetados:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
Referências CVE:
CVE-2001-0154

A versão mais recente deste documento pode ser encontrada em:
http://www.symantec.com/region/br/techsupp/avcenter/venc/data/br-w32.netsky.p@mm.html



O W32.Netsky.P@mm (também conhecido como W32.Netsky.Q@mm) é um worm de distribuição em massa que utiliza seu próprio mecanismo SMTP para enviar cópias de si mesmo aos endereços de e-mail encontrados durante a verificação de discos rígidos e unidades mapeadas. O worm também tenta propagar-se através de programas de compartilhamento de arquivos, criando cópias de si mesmo em várias pastas compartilhadas.

A linha De do e-mail é inventada, e o Assunto e corpo da mensagem variam. O nome do anexo varia e possui extensão .exe, .pif, .scr ou .zip.

Este worm explora a vulnerabilidade denominada Incorrect MIME Header Can Cause IE to Execute E-mail Attachment (em inglês) para que os sistemas que não possuem a correção executem o worm automaticamente ao ler ou visualizar uma mensagem infectada.

Esta ameaça é comprimida com FSG.
Notas:
  • Os produtos domésticos da Symantec que possuem o recurso Bloqueio de worms automaticamente detectam e impedem que esta ameaça se propague.
  • O executável do worm possui valor hash MD5 estático de 0x0A9FFA57D65083C92E0D3D69B00F2F0D.
  • As definições de Resposta Imediata com data de 21 de março de 2004 poderão detectar esta ameaça como W32.Netsky.Q@mm.




Spoofing de e-mail
Os worms utilizam uma técnica conhecida como "spoofing de e-mail". Essa técnica consiste em selecionar aleatoriamente um endereço de e-mail encontrado no computador infectado e utilizá-lo como remetente ou destinatário da mensagem criada pela rotina de propagação através de e-mail. Essa técnica pode fazer com que usuários de computadores não-infectados recebam notificações de que enviaram uma cópia do worm para alguma outra pessoa.

Por exemplo: Laura está usando um computador infectado por um worm. Laura não está usando um programa antivírus ou não possui as definições de vírus mais recentes. Quando esse worm executa sua rotina de propagação através de e-mail, ele encontra o endereço de e-mail de Haroldo, colega de Laura. O worm então insere o endereço de Haroldo no campo "De:" da mensagem infectada e a envia para Janete, outra colega de Laura. Janete então entra em contato com Haroldo para informar que recebeu dele uma mensagem infectada. Porém, quando Haroldo efetua uma verificação de vírus em seu computador nada é encontrado, porque não é o computador de Haroldo que possui o vírus.

Datas da proteção antivírus

  • Versão inicial do Rapid Release21 de Março de 2004
  • Última versão do Rapid Release14 de Fevereiro de 2012 revisão002
  • Versão inicial diária certificada21 de Março de 2004
  • Última versão diária certificada14 de Fevereiro de 2012 revisão007
  • Data da versão inicial semanal certificada22 de Março de 2004
Clique aqui para obter uma descrição mais detalhada das definições de vírus diárias certificadas e do Rapid Release.

Avaliação da ameaça

Disseminação

  • Nível de disseminação:High
  • Número de infecções:50 - 999
  • Número de sites:More than 10
  • Distribuição geográfica:Medium
  • Contenção da ameaça:Easy
  • Remoção:Moderate

Dano

  • Nível do dano:Medium
  • Acionador de atividade:Não disponível
  • Atividade:Não disponível
  • Envio de e-mail em grande escala:Envia cópias de si mesmo aos endereços de e-mail obtidos no computador infectado.
  • Exclui arquivos:Não disponível
  • Modifica arquivos:Não disponível
  • Divulga informações confidenciais:Não disponível
  • Reduz o desempenho:Não disponível
  • Causa a instabilidade do sistema:Não disponível
  • Compromete as configurações de segurança:Não disponível

Distribuição

  • Nível de distribuição:High
  • Assunto do e-mail:Variável
  • Nome do anexo:Variável, com a extesão .exe, .pif, .scr ou .zip
  • Tamanho do anexo:Variável
  • Portas:Não disponível
  • Unidades compartilhadas:Não disponível
  • Alvo da infecção:Não disponível
  • Carimbo de hora do anexo:Não disponível
Escrito por:Yuhui Huang
Detalhes técnicos
©1995 - 2012 Symantec Corporation
Mapa do site|
Avisos legais|
Política de privacidade|
Contato|
Sites globais