Aliases:
W32.Netsky.Q@mm (Symantec), W32/Netsky-Q (Sophos)

Effetti:
Due to an increase in the rate of submissions Symantec Security Response has upgraded W32.Netsky.Q@mm from a Category 2 threat to a Category 3 threat as of 29th March, 2004.
W32.Netsky.Q@mm is a mass-mailing worm that uses its own SMTP engine to send itself to the email addresses it finds when scanning the disk drives.
The From line of the email is spoofed, and its Subject line and message body of the email vary. The attachment name varies with the .exe, .pif, .scr, or .zip file extension.
The worm uses the Incorrect MIME Header Can Cause IE to Execute E-mail Attachment vulnerability to cause unpatched systems to auto-execute the worm when reading or previewing an infected message.
W32.Netsky.Q@mm consists of 2 components: the dropper and the mass-mailer component, which is dropped as DLL and loaded by the dropper. The dropper is packed with Petite. The mass-mailer component (DLL) is packed with UPX.

Info:
http://www.symantec.com/avcenter/venc/data/w32.netsky.q@mm.html#technicaldetails
http://www.sophos.com/virusinfo/analyses/w32netskyq.html
http://www.alerta-antivirus.es/virus/detalle_virus.html?cod=3735&PHPSESSID=a292edef1398a3a32f18515c731a88c1
http://www.f-secure.com/weblog/#00000113
http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=101145


Aggiornamento AntiVirus al 29/03/04 ;)(Y)

Ikarus: http://download.ikarus.at/remover/IkarusRem_Netsky.exe
Stinger: http://download.nai.com/products/mcafee-avert/stinger.exe

Ho ricevuto una mail con un data.zip.
Ovviamente l'ho aperta con PopPeeper in visualizzazione TXT.
F-Prot mi ha segnalato al volo l'allegato infetto, senza che nemmeno lo salvassi su HD.
Ma ho voluto salvarlo per vedere di che si trattasse...e dentro lo .zip c'è un details.txt (non ho aperto lo zip, me lo ha segnalato F-Prot nella successiva scansione)...ah quato sarei curioso di sapere che c'era in quel txt :S :mad:

Roma, 30 mar. (Adnkronos Multimedia) - Arriva Netsky.Q, nuova variante di uno dei worm piu' pericolosi del web, e lo fa con una sorpresa. All'interno del codice del virus, lo 'Skynet Antivirus Team', il gruppo di programmatori che lo ha scritto, ha inserito un messaggio nascosto. ''Il nostro scopo e' educare gli utenti per combattere gli hacker e i pirati informatici''. Gli autori, di origine russa, sostengo di voler prevenire alcune attivita' illegali, come l'hacking, la pirateria informatica e la condivisione di contenuti illegali. ''Non siamo ispirati da alcun intento criminale''. Infatti -precisano- nel codice di Netsky non e' presente nessuna backdoor utile alla propagazione dello spam, definendosi programmatori di alto livello. Il messaggio termina con ''Gli utenti non hanno bisogno di un nuovo aggiornamento per l'antivirus, hanno solo bisogno di una migliore preparazione!''. E' la compagnia Trend Micro a diffondere la notizia sostenendo pero', per voce di Joe Hartman -uno degli esperti della societa'- che ''sebbene affermino di non essere criminali, quello di cui i creatori di Netsky non non si rendono conto e' che le loro azioni hanno un costo per tutte le attivita' commerciali e che le organizzazioni sono costrette a combattere contro l'infezione oppure chiudere i servizi. Non ci sono virus 'buoni' -afferma- e diffondere codici maligni per 'educare' gli utenti non e' neppure etico''. Trend Micro ha lanciato un allarme di livello medio per Netsky.Q, la cui presenza e' stata segnalata in Asia, soprattutto in Giappone. Questa versione del worm e' di tipo 'mass-mailing' e sfrutta una vulnerabilita' di Internet Explorer per attivarsi nel momento in cui viene letto o visualizzato in anteprima il messaggio, che ha allegato un file con estensione pif o zip. Una volta eseguito, Netsky colloca uno dei tanti file in una cartella di Windows, scrivendo una copia di se' stesso e modificando il registro di sistema per avviarsi ad ogni avvio del sistema operativo. Il worm colpisce le piattaforme Windows 95, 98, ME, NT, 2000 ed XP.

Roma, 2 apr. (Adnkronos Multimedia) - La famiglia dei virus NetSky continua a mantenere il primato nella classifica delle infezioni di marzo, con un totale che supera il 65%. Lo rende noto Central Command, compagnia che produce software per la sicurezza dei pc, nella sua graduatoria che vede, nelle prime quattro posizioni diverse varianti di Worm/NetSky, con in testa la versione Netsky.D, seguita da NetSky.B e NetSky.P. Il worm MyDoom, che provoco' nei mesi scorsi danni per miliardi di dollari, bloccando anche i server di SCO Group, e' in quinta posizione con la variante MyDoom.F, mentre Sober appare in decima posizione. (Mak/Adnkronos)