Net als Conficker maakt Neeris gebruik van een in oktober gedicht lek in Windows, en kan het binnen een netwerk om zich heen grijpen via gedeelde mappen en de autorunfunctie van verwijderbare media. Neeris verspreidt zich ook nog steeds via chatbots voor clients als MSN Messenger, de primaire manier van verspreiding. De verschillende Neerisvarianten zijn vooral gericht op het openen van achterdeurtjes zodat kwaadwilligen toegang krijgen tot het systeem, of zodat malware naar binnen kan worden gehaald.

Twee beveiligingsonderzoekers van Microsoft schrijven op het Technet-blog dat het Neerisverkeer de afgelopen week een flinke piek heeft gekend, maar dat het niet iets is dat door Conficker zelf naar binnen is gehaald. Die veelbeschreven worm is op 1 april geactiveerd, maar voorlopig nog zonder merkbare gevolgen.

Volgens Ziv Mador en Aaron Putnam schakelt Neeris na infectie een cap op het uitgaande verkeer in de TCP/IP-laag uit, zodat het naar behoeven connecties uit kan laten gaan. Het maximum is sinds Service Pack 2 voor XP ingesteld om juist dit soort malware dwars te zitten. Neeris maakt daarna contact met een server via poort 449.

De signature staat te boek als Worm:Win32/Neeris.gen!C, terwijl de worm zich meestal probeert te camoufleren met de bestandsnaam netmon.exe. Ook aangetroffen is de variant die zich uitgeeft voor .scr-bestand, als in (hier twee willekeurige cijfers).scr. De timestamp is vervalst naar 22:22:17 op 19-06-1992.

Zo'n beetje alle tips die gelden voor Conficker, gelden ook voor deze worm, zo laten de bloggers weten. Bron: Techworld