Vollständige Virenbeschreibung

Name:	Worm/NetSky.AA
Entdeckt am:	22/05/2005
Art:	Worm
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Mittel
Verbreitungspotenzial:	Mittel
Schadenspotenzial:	Niedrig
Statische Datei:	Ja
Dateigröße:	27.136 Bytes
MD5 Prüfsumme:	c43fa1b082302f3b8e01d77fb95c78c6
VDF Version:	6.25.00.34

Allgemein Verbreitungsmethode:
   • Email

Aliases:
   • Symantec: W32.Netsky.Z@mm
   • Mcafee: W32/Netsky
   • Kaspersky: Email-Worm.Win32.NetSky.aa
   • TrendMicro: WORM_NETSKY.Z
   • F-Secure: W32/Netsky.AK@mm
   • Grisoft: I-Worm/Netsky.Z
   • VirusBuster: I-Worm.NetSky.Z1
   • Bitdefender: Win32.Netsky.AA@mm

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Verfügt über eigene Email Engine
   • Änderung an der Registry

Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %WINDIR%\Jammer2nd.exe

Es werden folgende Dateien erstellt:

– Es wird folgende Archivdatei mit der Kopie der Malware erstellt:
   • %WINDIR%\pk_zip_alg.log

– MIME enkodierte Kopie seiner selbst:
   • %WINDIR%\pk_zip1.log
   • %WINDIR%\pk_zip2.log
   • %WINDIR%\pk_zip3.log
   • %WINDIR%\pk_zip4.log
   • %WINDIR%\pk_zip5.log
   • %WINDIR%\pk_zip6.log
   • %WINDIR%\pk_zip7.log
   • %WINDIR%\pk_zip8.log

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "Jammer2nd"="%WINDIR%\Jammer2nd.exe"

Email Die Malware verfügt über eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:

Von:
Die Absenderadresse wurde gefälscht.
Generierte Adressen. Bitte vermuten Sie nicht, dass es des Absenders Absicht war diese Email zu schicken. Es ist möglich, dass er nichts über seine Infektion weiß oder sogar nicht infiziert ist. Des Weiteren ist es möglich, dass Sie Emails bekommen in denen die Rede davon ist, dass Sie infiziert sind was möglicherweise auch nicht stimmt.

An:
– Email Adressen welche in ausgewählten Dateien auf dem System gefunden wurden.
– Gesammelte Email Adressen aus WAB (Windows Addressbuch)
Der Empfänger der Email ist folgender:
   • jamainlbbbsdef@yahoo.com

Betreff:
Eine der folgenden:
   • Document
   • Hello
   • Hi
   • Important
   • Information

Body:
Der Body der Email ist einer der folgenden:
   • Important bill!
   • Important data!
   • Important details!
   • Important document!
   • Important informations!
   • Important notice!
   • Important textfile!
   • Important!

Dateianhang:
Der Dateiname des Anhangs ist einer der folgenden:
   • Bill.zip
   • Data.zip
   • Details.zip
   • Important.zip
   • Informations.zip
   • Notice.zip
   • Part-2.zip
   • Textfile.zip

Versand Suche nach Adressen:
Es durchsucht folgende Dateien nach Emailadressen:
   • .ppt; .xml; .wsh; .jsp; .msg; .oft; .sht; .nch; .mmf; .mht; .dbx;
      .tbb; .adb; .xls; .stm; .ods; .dhtm; .cgi; .shtm; .uin; .rtf; .vbs;
      .php; .txt; .eml; .doc; .wab; .asp; .html; .htm; .pl; .mdx; .mbx; .cfg

Kontaktiert DNS:
Schlägt die Anfrage mit dem Standard DNS fehl wird mit folgendem weitergemacht.
Es besitzt die Fähigkeit folgende DNS Server zu kontaktieren:
   • 212.44.160.8; 195.185.185.195; 151.189.13.35; 213.191.74.19;
      193.189.244.205; 145.253.2.171; 193.141.40.42; 194.25.2.134;
      194.25.2.133; 194.25.2.132; 194.25.2.131; 193.193.158.10;
      212.7.128.165; 212.7.128.162; 193.193.144.12; 217.5.97.137;
      195.20.224.234; 194.25.2.130; 194.25.2.129; 212.185.252.136;
      212.185.253.70; 212.185.252.73

Hintertür Der folgende Port wird geöffnet:

– %ausgeführte Datei% am TCP Port 665 um Backdoor Funktion zur Verfügung zu stellen.

DoS Am 02/05/2004 werden DoS Attacken gegen folgende Ziele gestartet:
   • www.nibis.de
   • www.medinfo.ufl.edu
   • www.educa.ch

Diverses Mutex:
Es wird folgender Mutex erzeugt:
• (S)(k)(y)(N)(e)(t)

String:
Des Weiteren enthält es folgende Zeichenkette:
• :::::::::::They never learn it!:::::::::::

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• ASPack 2.11c

Die Beschreibung wurde erstellt von Razvan Olteanu am Montag, 29. August 2005
Die Beschreibung wurde geändert von Andrei Ivanes am Dienstag, 14. März 2006

zurück . . . .