NetSky.Q a mis à bas 4 sites sur 5 !

Apparu le 29 Mars 2004, le virus NetSky.Q a décidé de mettre a mal 5 sites et pour cela de profiter de la puissance d'un maximum de machines ! NetSky qui n'est pas sans rappelé, dans le film Terminator, Skynet une entité inteligente et artificiel qui déchaine une horde de robots et machines pour détruire l'espèce humaine.

NetSky.Q est un peu de la même trempe, c'est un virus qui se transmet par pieces jointes dans un mail et utilise la veille faille d'Internet Explorer 5.01 & 5.5 (qui ont bien entendu leur patch) et permet ainsi l'execution d'un script malicieu.

- 1) Il s'installe sous la forme {SysMonXP.exe (28 008 octets)} dans le répertoire c:windows ou c:winnt

- 2) Génère une Dll sous le nom "Firewalllogger.txt" qui est le module d'envois de courrier de masse qui sera utilisé pour se transmettre à vos amis et faire une DDOS (voir plus loin)

- 3) Il modifie de nombreux paramètre de votre système (Base de registre, fichiers valeurs...)

- 4) Génère une base de donnée de tout les adresses Mails stockés sur votre ordinateurs (peut importe le format)

- 5) Envoit à cette base des E-mails générés aléatoirement avec son clone en piece jointe (dans de nombreux formats)

- 6) A partir du 30 mars 2004 à 5h11, il emet un Bip pour se synchroniser
pour l'ultime étape

- 7) Du 8 Avril 2004 jusqu'au 11 avril 2004 toutes les machines infectées procède à un envois de masse pour permettre une attaque du type DOS (Déni De Service) sur les 4 URL suivantes :
-** [www.edonkey2000.com->www.edonkey2000.com]
-** [www.kazaa.com->www.kazaa.com]
-** [www.emule-project.net->www.emule-project.net]
-** [www.cracks.am->www.cracks.am]
-** [www.cracks.st->www.cracks.st]



JEUDI 8 AVRIL 2004

-** [www.edonkey2000.com->www.edonkey2000.com]Le site a saturé, devenu inacessible il a tout simplement changer de nom de domaine ! il s'appelle maintenant [edonkey200.com (sans les WWW)->http://edonkey200.com]

-** [www.kazaa.com->www.kazaa.com] Des ralentissements mais le site tiens bon.

-** [www.emule-project.net->www.emule-project.net]L'équipe a tout prévu ! un site miroir a été spécialement créé pour l'occasion à l'URL : [http://emule-project.org/->http://emule-project.org/]. Heureusement car il n'a pas fallu longtemps pour que le site tombe !

-** [www.cracks.am->www.cracks.am] Le site est tombé, completement inacessible ! Pas de solutions de rechange !

-** [www.cracks.st->www.cracks.st] Le site est completement saturé et tombé mais ca bosse dure apparement !


VENDREDI 9 AVRIL 2004

-** [www.edonkey2000.com->www.edonkey2000.com]Le site n'existe plus il ne reste que [edonkey200.com (sans les WWW)->http://edonkey200.com]

-** [www.kazaa.com->www.kazaa.com] Il a survécu pour l'instant !

-** [www.emule-project.net->www.emule-project.net]Il ne reste que le site mirroir : [http://emule-project.org/->http://emule-project.org/]

-** [www.cracks.am->www.cracks.am] Site mort ! Game Over !

-** [www.cracks.st->www.cracks.st] Les adminisatrateurs ont apprement réussit à reprendre la main dessus ! il refonctionne !


Asuivre ;-)

- [Ce lien permet de voir le "Microsoft Security Bulletin MS03-040 du 3 Octobre 2003->http://www.microsoft.com/technet/security/bulletin/MS03-040.mspx]
- [Ce lien permet de télécharger un utilitaire gratuit (Symantec) pour supprimer NetSky de votre machine->http://www.symantec.com/region/fr/techsupp/avcenter/venc/data/fr-w32.netsky@mm.removal.tool.html]

Les dernières publications

Actualité libre de droit