«Лаборатория Касперского» предупреждает о возможности новой вирусной эпидемии, вызванной четвертой модификацией сетевого червя «Netsky» — «Netsky.D» (также известен как «Moodown.D»). На данный момент уже получено несколько десятков сообщений о случаях заражения компьютеров, — сообщил корреспонденту областной интернет-газеты «Вслух.Ру» руководитель информационной службы «Лаборатория Касперского» Денис Зенкин.
«Netsky.D» распространяется через письма электронной почты. Зараженные сообщения могут иметь самый разный внешний вид: червь случайным образом выбирает заголовок из 25-ти вариантов; текст письма из 6 вариантов, имя вложенного файла из 21 варианта.
Вложенный файл имеет фиктивное расширение PIF, в действительности представляя собой обычную EXE-программу (размер около 17Кб). Если пользователь имел неосторожность запустить этот файл, то червь устанавливает себя в систему и запускает процедуры распространения. При установке «Netsky.D» копирует себя с именем WINLOGON. EXE в каталог Windows и регистрирует этот файл в ключе авто-запуска системного реестра. Таким образом он обеспечивает свою активизацию при каждой загрузке операционной системы.
Для дальнейшей рассылки червь сканирует файлы наиболее распространенных интернет-приложений (например, WAB, EML, DOC, HTML, MSG и др.), считывает из них адреса электронной почты и незаметно для владельца компьютера отсылает на них свои копии. Важно отметить, что рассылка писем осуществляется в обход установленного на компьютере почтового клиента, но с использованием встроенной SMTP-подпрограммы. С ее помощью «Netsky.D» распространяется через 23 прокси-сервера, расположенных в разных концах мира.
Червь имеет ряд побочных действий. В частности, он удаляет из системного реестра ключи другого сетевого червя — «Mydoom», а также пытается нарушить работу «Антивируса Касперского».