Security News : اخبار و هشدارهاي امنيتي

[mahan]

مايكروسافت نقايص يافت شده در XP SP2 را بررسي مي‌كند


۲۵ آبان ۱۳۸۳

مايكروسافت اعلام كرده است كه در حال بررسي ادعاهايي درباره‌ي آسيب پذيري‌هاي متعدد و جديدي است كه در سرويس پك 2 ويندوز توسط شركت امنيتي Finjan Software در سن حوزه يافت شده است. Finjan اعلام كرده است كه در حدود 10 نقص جدي و خطرناك در SP2 كشف كرده است.

بر طبق گفته‌هاي Gil Arditi، مدير امنيت Finjan، برخي از آسيب پذيري‌هاي يافت شده مي‌توانند توسط هكرها مورد سو استفاده قرار گيرند تا بدين طريق بتوانند كنترلي از راه دور بر روي سيستم‌ها به دست آورده و يا كدهاي مخرب را بر روي كامپيوترها اجرا كنند.

Finjan درباره‌ي آسيب پذيري‌هاي ياد شده به مايكروسافت هشدار داده و تمامي جزييات فني مناسب و مربوطه را با اين شركت در ميان گذاشته است. Finjan همچنين براي اثبات گفته‌هاي خود، برنامه‌ي اثبات مفهومي (proof-of-concept) توليد كرده است كه مي‌تواند از نقايص ياد شده موجود در سرويس پك 2 ويندوز XP سو استفاده كند.

Finjan با استفاده از سياست‌هاي معمول خود، تا زماني كه مايكروسافت patch هاي خود را براي نقايص يافت شده در دسترس قرار ندهد، هيچ برنامه‌اي براي عمومي كردن جزييات آسيب پذيري‌ها ندارد، اما اين شركت امنيتي برنامه‌هاي متعددي را ارايه كرده كه به شرح و توصيف چگونگي سو استفاده‌ي هكرهاي مخرب از حفره‌هاي امنيتي SP2 براي دسترسي به فايل‌هاي كاربران از راه دور و اجراي كدهاي مخرب بدون مداخله و اجازه‌ي كاربران مي‌پردازد.

اين شركت گفته است كه با به كار گيري تمامي آسيب پذيري‌هاي كشف شده در SP2 توسط Finjan، هكرها مي‌توانند به آرامي و از راه دور، هنگامي كه كاربران در حال مرور صفحه‌هاي وب هستند، به ماشين‌هاي داراي SP2 دسترسي پيدا كنند.

Finjan گفته است كه اخبار كشفيات خود را به صورت بخش بخش ارايه كرده است، زيرا بسياري از كاربران پس از نصب سرويس پك 2 ممكن است به تصور اين كه ديگر مشكلات امنيتي وجود ندارند، سرويس‌هاي محافظ امنيتي خود را از كار بياندازند.

يكي از سخنگويان مايكروسافت گفته است كه اين شركت از ادعاهاي Finjan مطلع بوده و در حال بررسي آن‌ها است. وي گفته است كه در حال حاضر مايكروسافت نمي‌تواند ادعاهاي Finjan را مبني بر وجود 10 آسيب پذيري در SP2 تاييد و تصديق كند.

مايكروسافت همچنين از وجود حملاتي كه در تلاش براي بهره گيري از نقايص گفته شده توسط Finjan هستند، اطلاعي ندارد. اين شركت گفته است: « بررسي‌ها و تحليل‌هاي اوليه‌ي ما نشان دهنده‌ي آن است كه ادعاهاي Finjan درباره‌ي تعداد و ميزان جدي بودن آسيب پذيري‌هاي سرويس پك 2 ويندوز XP، فريبنده و اشتباه بوده است.

مايكروسافت همچنين اعلام كرده است كه چنانچه هرگونه آسيب پذيري واقعي و صحيحي در Windows XP SP2 يافت شود، اين شركت هرگونه اقدام و فعاليت فوري و مناسبي را براي پشتيباني و حفظت مشتريان در پي خواهد گرفت.

[mahan]

تروجان Hackarmy


Hackarmy تروجان در پشتي IRC مي باشد كه با نامهاي win32server.scr يا win32server.exe در پوشه ويندوز ذخيره مي كند و يكي ازمدخل زير را در رجيستري ايجاد مي كند:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Winsock32driver = wn32server.scr
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Winsock32driver = win32server.exe

تروجان خودش را در يك سرور IRC كه از پيش تعين شده ثبت مي كند و منتظر دستورات مي ماند تا از در پشتي دريافت كند.

توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''Export Registry File'''' و در پنل ''''Export range'''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Winsock32driver = wn32server.scr
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Winsock32driver = win32server.exe
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد

[mahan]

كرم Bagle-AC


Bagle-AC از خانواده كرمهاي Bagle مي باشد كه از طريق ايميل منتشر مي شوند. پس از اجرا كرم خودش را با نام loader_name.exe در پوشه ويندوز ذخيره مي كند و فايلهاي ديگري را كه در نام آنها كلمه open باشد نيز در آنجا ذخيره مي كندسپس در پنجره اي با تيتر eror پيغام زير نمايش داده مي شود:
"Can''t find a viewer associated with the file"

سپس كرم شروع مي كند به پاك كردن مدخل هاي رجيستري كه مربوط به مسائل امنيتي ويندوز و محصولات آنتي ويروس و برنامه هاي امنيتي مي باشد.
به عنوان مثال مدخل هاي زير در صورتي كه به اسامي زير اشاره كند پاك مي شوند:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows\CurrentVersion\Run

My AV
Zone Labs Client Ex
9XHtProtect
Antivirus
Special Firewall Service
service
Tiny AV
ICQNet
HtProtect
NetDy
Jammer2nd
FirewallSvr
MsInfo
SysMonXP
EasyAV
PandaAVEngine
Norton Antivirus AV
KasperskyAVEng
SkynetsRevenge
ICQ Net
Bagle-AC زمان را بررسي مي كند و اگر بعد از 25 ژانويه 2005 باشد تمامي برنامه هاي بالا را خاتمه مي دهد.
اين كرم سپس خودش را به اسامي زير در تمامي پوشه هاي share شده كپي مي كند:
Microsoft Office 2003 Crack, Working!.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Microsoft Office XP working Crack, Keygen.exe
Porno, ---, oral, anal cool, awesome!!.exe
Porno Screensaver.scr
Serials.txt.exe
KAV 5.0
Kaspersky Antivirus 5.0
Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe

كرم خودش را از طريق ايميل منتشر مي كند .Bagle-AC فايلهايي را كه شامل پسوند هاي زير مي باشند براي يافتن آدرسهاي ايميل جستجو مي كند:

WAB, TXT, MSG, HTM, SHTM, STM, XML, DBX, MBX, MDX, EML, NCH, MMF, ODS, CFG, ASP, PHP, PL, WSH, ADB, TBB, SHT, XLS, OFT, UIN, CGI, MHT, DHTM, JSP
اين كرم به همراه يك فايل HTML در يك ايميل براي كاربران ارسال مي گردد.
ايميلي كه توسط اين كرم ارسال مي شود داراي مسخصات زير است :
موضوع نامه:
Re: Msg reply
Re: Hello
Re: Yahoo!
Re: Thank you!
Re: Thanks
RE: Text message
Re: Document
Incoming message
Re: Incoming Message
RE: Incoming Msg
RE: Message Notify
Notification
Changes..
Update
Fax Message
Protected message
RE: Protected message
Forum notify
Site changes
Re: Hi
Encrypted document

متن نامه :

Read the attach.<br><br>
Your file is attached.<br><br>
More info is in attach<br><br>
See attach.<br><br>
Please, have a look at the attached file.<br>
Your document is attached.<br><br>
Please, read the document.<br><br>
Attach tells everything.<br><br>
Attached file tells everything.<br><br>
Check attached file for details.<br><br>
Check attached file.<br><br>
Pay attention at the attach.<br><br>
See the attached file for details.<br><br>
Message is in attach<br><br>
Here is the file.<br><br>

وپسوردي كه براي باز كردن فايل ZIP نياز است در قالب يك عكس ارسال مي گردد.متني كه در اين عكس قرار دارد به شرح زير است:

<br>For security reasons attached file is password protected.
The password is <img src="cid:<imagefile>"><br>
<br>For security purposes the attached file is password protected.
Password -- <img src="cid:<imagefile>"><br>
<br>Attached file is protected with the password for security reasons.
Password is <img src="cid:<imagefile>"><br>
<br>In order to read the attach you have to use the following
password: <img src="cid:<imagefile>"><br>
<br>Note: Use password <img src="cid:<imagefile>"> to open archive.<br>
<br>Archive password: <img src="cid:<imagefile>"><br>
<br>Password - <img src="cid:<imagefile>"><br>
<br>Password: <img src="cid:<imagefile>"><br>.


توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از ان تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''Export Registry File'''' و در پنل ''''Export range'''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \ HKLM\Software\Microsoft\Windows\CurrentVersion\Run \
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد. در صورت نياز برنامه آنتي ويروس خود را دوباره نصب كنيد.

[mahan]

حمله كرم اينترنتي به كاربران مكينتاش

كرم جديد، ديوارهاي آتشين مكينتاش را به هم مي ريزد. متخصصان امنيت كامپيوتري در دبي مي گويند: يك كرم جديد اينترنتي مي تواند در ديوارهاي آتشين شبكه كامپيوتري مكينتاش نفوذ كند. كارشناسان به كاربران خدمات مكينتاش هشدار داده اند كه كرم SH/Renepo كه به Opener نيز معروف است، در صدد است ديوار آتشين و ديگر نرم افزارهاي امنيتي اين شركت را از كار بيندازد.
اين كرم عمداً كاربراني را هدف قرار داده كه از سيستم عامل Mac OS-X استفاده مي كنند.

باج خواهي هکرها از يک ISP

يک مرکز ISP در اصفهان در پى تهديد به هك شدن دامنه اينترنتى (domain) اين مركز از طرف يك تيم هكر (نفوذگر اينترنتى) به مراجع قضايى شکايت کرد.
حميد غفارى يکى از مديران اين مرکز ISP در گفت‌وگو با ايرنا افزود: يک تيم هکر سه هفته پيش اقدام به نفوذ به پست الکترونيکى (E-MAIL) ثبت کننده (REGISTER) دامين سايت اينترنتى اين مرکز کرد و توانست به اطلاعات دامنه اين مرکز دسترسى يابد.
وى افزود: اين تيم هکر در تماس‌هاى مکررى که با مديران مرکز ISPداشت تهديد به سرقت دامين‌هاى موجود و تغيير صفحات سايت اينترنتى متعلق به اين مرکز ISP کرد.
به گفته غفارى اين تيم هکر براى عدم تحقق تهديد خود خواستار دريافت مبالغى وجه نقد شده بود.

[mahan]

كرم Sdbot-QF

كرم Sdbot-QF كرمي است با قابليت هاي در پشتي براي سيستم هايي ويندوزي مي باشد و از طريق شبكه هاي share شده خودش را منتشر مي كند. اجازه مي دهد مهاجمي در دور دست به سيستم آلوده دسترسي داشته باشد.
پس از اجرا كرم خودش را با نام service.exe در پوشه ويندوز كپي مي كند تا با اجراي ويندوز كرم نيز اجرا شود و مدخلهاي زير را در رجيستري ايجاد مي كند:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Win32 USB2.0 Driver
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once\Win32 USB2. Driver
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\\Win32 USB2.0 Driver
HKCU\Software\Microsoft\Windows\CurrentVersion\Run \Win32 USB2.0 Driver
HKCU\Software\Microsoft\Windows\CurrentVersion

كرم Sdbot-QF در سيستم هاي ديگر از طريق آسيب پذيري LSASS منتشر مي شود.

توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3- اصلاحيه هاي مايكروسافت را نصب كنيد (MS04-011 )
4-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''Export Registry File'''' و در پنل ''''Export range'''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Win32 USB2.0 Driver
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once\Win32 USB2. Driver
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\\Win32 USB2.0 Driver
HKCU\Software\Microsoft\Windows\CurrentVersion\Run \Win32 USB2.0 Driver
HKCU\Software\Microsoft\Windows\CurrentVersion

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.

[mahan]

كرم Funner-A


Funner-A كرمي است كه در سيستم هاي ويندوزي منتشر مي شود كه داراي برنامه مسنجر MSN مي باشند.
پس از اجرا كرم يك كپي از خود با نام rundll32.exe يا يكي از نامهاي explorer.exe, iexplore.exe userinit32.exe در پوشه ويندوز ايجاد مي كند تا با اجراي ويندوز كرم نيز به طور خودكار اجرا شود .كرم مدخل هاي زير را در رجيستري قرار مي دهد:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \MMSystem =
<Windows>\rundll32.exe \" <Windows>\<system>\mmsystem.dll\"\", RunDll32

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit =
<Windows>\<system>\userinit32.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run \

Funner-A همچنين system.ini را توسط اضافه كردن EXPLORER.EXE در زير شاخه shell= تغيير مي دهد.

توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''Export Registry File'''' و در پنل ''''Export range'''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \MMSystem =
<Windows>\rundll32.exe \" <Windows>\<system>\mmsystem.dll\"\", RunDll32

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit =
<Windows>\<system>\userinit32.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run \
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد در ضمن در فايل SYSTEM.INI در صورتيكه كه در زير شاخه shell= نام فايلي ديده شد آن را نيز حذف كنيد. و دوباره سيستم خود را راه اندازي كنيد.

شرح اضافه :
همچنين اين كرم با اضافه شدن به بخش HOSTS هاي سيستم باعث مي شود تا كاربر در هنگام متصل شدن به يكي از سايتهاي زير به آدرس 222.89.98.219 هدايت شود.
"www.cmfu.com"
"9i0.com"
"www.9flash.com"
"9flash.com"
"www.nowok.net"
"nowok.net"
"wisa.com.cn"
"www.sia.com.cn"
"www.wisa.cn"
"wisa.cn"
"www.zhao99.com"
"zhao99.com"
"www.wo123.com"
"wo123.com"
"wo99.com"
"www.wo99.com"
"www.page.com.cn"
"page.com.cn"
"wysw.com"
"14.com.cn"
"www.14.com.cn"
"cnww.net"
"www.mv99.com"
"mv99.com"
"www.youav.com"
"www.mtvav.com"
"3tom.com"
"www.114.com.cn"
"www.net114.com"
"www.skywz.com"
"skywz.com"
"www.hao6.com"
"hao6.com"
"www.678a.com"
"www.zzkan.com"
"zzkan.com"
"www.ca183.com"
"ca183.com"
"www.yhjm.com"
"yhjm.com"
"www.k369.com"
"www.xxwww.com"
"xxwww.com"
"www.fm1000.net"
"www.ok135.com"
"ok135.com"
"www.link999.com"
"link999.com"
"www.001wz.com"
"001wz.com"
"www.7t7t.com"
"7t7t.com"
"www.7k7k.com"
"7k7k.com"
"www.webcool.net"
"webcool.net"
"www.51sobu.com"
"51sobu.com"
"cy.51sobu.com"
"www.fj3721.com"
"www.msncn.com"
"msncn.com"
"www.8goo.com"
"8goo.com"
"www.baimin.com"
"baimin.com"
"www.bwwz.com"
"bwwz.com"
"www.howow.net"
"howow.net"
"www.tongchi.com"
"tongchi.com"
"www.7o7o.com"
"7o7o.com"
"www.wangzhiku.com"
"wangzhiku.com"
"www.soyeah.com"
"soyeah.com"
"www.sowang.cn"
"sowang.cn"
"www.look8.net"
"look8.net"
"www.v222.com"
"www.wblink.com"
"wblink.com"
"www.daguilin.com"

[30naa]

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

این مورد با نصب اس پی 2 ایجاد میشه یا از قبل هم بوده؟

[mahan]

نه مال خود اس پی 2دیگه
اینا البته هنوز از طرف مایکروسافت تائید نشده

[mahan]

كرم Traxg-B



Traxg-B كرمي است كه از طريقoutlook Microsoft منتشر مي شود و توانايي اين را دارد كه فايل C:\folder.htt را ايجاد كند اين فايل ممكن است پاك شده باشد.
اين كرم خودش را با نامهاي تصادفي در مكانهاي زيادي كپي مي كند و مدخل زير را در رجيستري ايجاد مي كند تا كرم بتواند به راحتي روي سيستم اجرا شود:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \TempCom
همچنين توانايي اين را دارد كه مدخل هاي زير را در رجيستري قرار دهد تا باعث تغيير در عملكرد Windos Explorer شود .
HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Hidden = 0
HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\HideFileExt = 1

توصيه ها :
1-به روز كردن آنتي ويروس
2-نصب اصلاحيه هاي مايكروسافت
3- دريافت Removal از سايت Kaspersky
4-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \TempCom
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

[mahan]

كرم Netsky-AD




جزء آن دسته از كرمهايي است كه از طريق ايميل و شبكه هاي share شده منتشر مي شود.
پس از اجرا كرم خودش را در پوشه ويندوز با نامي شبيه MsnMsgrs.exe منتشر مي كند و مدخل زير را در رجيستري ايجاد مي كند تا كرم به طور خودكار روي سيستمي كه reboot شده اجرا شود.

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \
MsnMsgr = %WINDOWS%\MsnMsgrs.exe –alev

كرم Netsky-AD درايوها را براي يافتن فايلهايي با پسوند هاي زير جستجو مي كند تا آدرسهاي ايميل پيدا كند:
SCS, OFT, SHT, DBX, TBB, ADB, DOC, WAB, ASP, UIN, RTF, VBS, HTML, HTM, PL, PHP, TXT and EML
توصيه ها :
1-به روز كردن آنتي ويروس
2-نصب اصلاحيه هاي مايكروسافت
3- دريافت Removal از سايت Kaspersky
4-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''Export Registry File'' و در پنل ''Export range'' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \
MsnMsgr = %WINDOWS%\MsnMsgrs.exe –alev
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

شرح اضافه :
همچنين كرم در پوشه هايي با محتوي كلمات `share` و `sharing` كه با اسامي زير روي درايوها قرار دارند خودش را كپي مي كند:
vota!.zip.scr
aninha gatinha!.zip.scr
importante!!!!!.zip.scr
minhavida!.zip.exe
comoserrico!.zip.scr
vida!!.zip.scr
receitas de bolo!!.zip.scr
celulares!!.zip.scr
clica ai logo meu.scr
rede globo tv!.zip.scr
rocha.scr
paula!.scr
Carnaval em Salvador!!.zip.scr
vadias peladas!!.scr
cafe!!.zip.scr
traficoemSP!.scr
MulataDandoOcujpg.scr
multas.pif
caspa.scr
barrio.scr
ResidentEvil2.zip.scr
puteiros!!.scr
Canaval2004!.jpg.pif
VivaNaBaia!.scr
ايميلي كه ارسال مي شود داراي مشخصات زير مي باشد:
موضوع به صورت تصادفي از موضوعات زير انتخاب مي شود:
morto
Sua saude esta bem?
pescaria por kilo
massas!
impressao!!
robos!
diga
agradou
متن پيغام به صورت تصادفي از موضوعات زير انتخاب مي شود:

me veja peladinha
gostaria disso e voce???
algo a mais
falea verdade!!!
ganhe muita grana
campanhadafome
pq nao me liga??
sinto voce!!
grana
Lembra?
amor me liga
Hackers do Brasil
Medical Labs Exames!!!
meu telefone liga
ferias nos E.U.A
Surto :(
Vacina contra o HIV!!
sua conta bancaria zerada
olha que isso!!!
parabens!
te amo!
Policia SP
Sua Conta!!
Boleto Pague
veja o que tem no zip e me liga
receitas de bolo!!
acrdito que em voce!!!
promocao de viajens de fim de ano
tudo sobre voce sabe
Proposta de emprego!!
estou doente veja!!!
me diz o queacha?
retorna logo isso!!
arquivo zipado PGP???
voce passou !!!
ve ai logo ta
AMA!
AmaVoce
Abra rapido isso!!!!
reza de sao tome!!!!.
veja detalhes!!!.
encontro voce!
preenche ai ta bom
PizzaVeneza!
فايل الحاقي :


AninhaPutinha +55operado6992292246
vaca
tetas
war3!
AIDS!
grana
banco!
revista
lulao!
imposto
jogo!
loterias
vips!
missao
vadias!
email
flipe
botao
sampa!!
contas!!
zerado
:(
criancas!
brasil!
lantrocidade
aqui
ocs
festa!!
LINUSTOR
bingos!
agua!

sorteado!!
grana!!
dinheiro!!
carros!
voce
:-)
???
circular
پسوند ها تركيبي از TXT, DOC, RTF, HTM, PIF, COM, SCR and BAT خواهند بود.
كرم پس از اجرا پيغام زير را نمايش مي دهد:
"File Corrupted replace this!!"