1. Symantec/
  2. Security Response/
  3. W32.Netsky.P@mm
  4. W32.Netsky.P@mm
  • Compartilhar

W32.Netsky.P@mm

Nível do risco3: Moderado

Descoberto:
21 de Março de 2004
Atualizado:
13 de Fevereiro de 2007 12:21:39 PM
Também conhecido como:
W32.Netsky.Q@mm, W32/Netsky.p@MM [McAfee], Win32.Netsky.P [Computer Assoc, NetSky.P [F-Secure], W32/Netsky.P.worm [Panda], W32/Netsky-P [Sophos], WORM_NETSKY.P [Trend]
Tipo:
Worm
Extensão da infecção:
29,568 bytes
Sistemas afetados:
Windows
Referências CVE:
CVE-2001-0154


A versão mais recente deste documento pode ser encontrada em:
http://www.symantec.com/region/br/techsupp/avcenter/venc/data/br-w32.netsky.p@mm.html



O W32.Netsky.P@mm (também conhecido como W32.Netsky.Q@mm) é um worm de distribuição em massa que utiliza seu próprio mecanismo SMTP para enviar cópias de si mesmo aos endereços de e-mail encontrados durante a verificação de discos rígidos e unidades mapeadas. O worm também tenta propagar-se através de programas de compartilhamento de arquivos, criando cópias de si mesmo em várias pastas compartilhadas.

A linha De do e-mail é inventada, e o Assunto e corpo da mensagem variam. O nome do anexo varia e possui extensão .exe, .pif, .scr ou .zip.

Este worm explora a vulnerabilidade denominada Incorrect MIME Header Can Cause IE to Execute E-mail Attachment (em inglês) para que os sistemas que não possuem a correção executem o worm automaticamente ao ler ou visualizar uma mensagem infectada.

Esta ameaça é comprimida com FSG.

Notas:
  • Os produtos domésticos da Symantec que possuem o recurso Bloqueio de worms automaticamente detectam e impedem que esta ameaça se propague.
  • O executável do worm possui valor hash MD5 estático de 0x0A9FFA57D65083C92E0D3D69B00F2F0D.
  • As definições de Resposta Imediata com data de 21 de março de 2004 poderão detectar esta ameaça como W32.Netsky.Q@mm.





Spoofing de e-mail
Os worms utilizam uma técnica conhecida como "spoofing de e-mail". Essa técnica consiste em selecionar aleatoriamente um endereço de e-mail encontrado no computador infectado e utilizá-lo como remetente ou destinatário da mensagem criada pela rotina de propagação através de e-mail. Essa técnica pode fazer com que usuários de computadores não-infectados recebam notificações de que enviaram uma cópia do worm para alguma outra pessoa.

Por exemplo: Laura está usando um computador infectado por um worm. Laura não está usando um programa antivírus ou não possui as definições de vírus mais recentes. Quando esse worm executa sua rotina de propagação através de e-mail, ele encontra o endereço de e-mail de Haroldo, colega de Laura. O worm então insere o endereço de Haroldo no campo "De:" da mensagem infectada e a envia para Janete, outra colega de Laura. Janete então entra em contato com Haroldo para informar que recebeu dele uma mensagem infectada. Porém, quando Haroldo efetua uma verificação de vírus em seu computador nada é encontrado, porque não é o computador de Haroldo que possui o vírus.

Datas da proteção antivírus

  • Versão inicial do Rapid Release21 de Março de 2004
  • Última versão do Rapid Release8 de Dezembro de 2017 revisão022
  • Versão inicial diária certificada21 de Março de 2004
  • Última versão diária certificada9 de Dezembro de 2017 revisão001
  • Data da versão inicial semanal certificada22 de Março de 2004
Clique aqui para obter uma descrição mais detalhada das definições de vírus diárias certificadas e do Rapid Release.
Escrito por:Yuhui Huang
Internet Security Threat Report