Name:Worm/NetSky.#1
Entdeckt am:05/04/2004
Art:Worm
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel
Schadenspotenzial:Niedrig
Statische Datei:Ja
Dateigröße:18.432 Bytes
MD5 Prüfsumme:ff05ddc00C74ef41157a2552af455e59
VDF Version:6.24.00.87

 Allgemein Verbreitungsmethode:
   • Email


Aliases:
   •  Symantec: W32.Netsky.T@mm
   •  Mcafee: W32/Netsky.t@MM
   •  Kaspersky: Email-Worm.Win32.NetSky.t
   •  TrendMicro: WORM_NETSKY.T
   •  F-Secure: W32/Netsky.T@mm
   •  Sophos: W32/Netsky-T
   •  Grisoft: I-Worm/Netsky.T
   •  VirusBuster: iworm I-Worm.Netsky.U
   •  Bitdefender: Win32.NetSky.T@mm


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Verfügt über eigene Email Engine
   • Änderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %WINDIR%\EasyAV.exe



Es wird folgende Datei erstellt:

– MIME enkodierte Kopie seiner selbst:
   • %WINDIR%\uinmzertinmds.opm

 Registry Der folgendeRegistryschlüssel wird in einer Endlosschleife fortlaufen hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "EasyAV"="%WINDIR%\EasyAV.exe"

 Email Die Malware verfügt über eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:


Von:
Die Absenderadresse wurde gefälscht.


An:
– Email Adressen welche in ausgewählten Dateien auf dem System gefunden wurden.


Betreff:
Der Betreff wird wie folgt zusammengesetzt:

    Manchmal beginnt er mit einem der folgenden:
   • Re:

    Gefolgt von einer der folgenden:
   • Important
   • My details
   • Your information
   • Your details
   • Your document
   • Request
   • Thank you!
   • Approved
   • Hello
   • account
   • postcard
   • sample
   • developement
   • concept
   • story
   • report
   • icq number
   • e-mail
   • phone number
   • personal message
   • photo document
   • order
   • important document
   • diggest
   • final version
   • release
   • answer
   • bill
   • notice
   • requested document
   • description
   • summary
   • picture document
   • movie document
   • approved document
   • old document
   • document
   • mail
   • letter
   • homepage
   • detailed document
   • powerpoint document
   • excel document
   • word document
   • info
   • information
   • text
   • new document
   • textfile
   • user list
   • improved file
   • secound document
   • file
   • number list
   • contact list
   • message
   • note
   • improved document
   • details
   • instructions
   • presentation document
   • abuse list
   • archive
   • corrected document
   • list
   • approved file


Body:
Der Body der Email ist einer der folgenden:

   • Hello!

   • Hi!


Manchmal gefolgt von einer der folgenden:

   • Your file is attached to this mail.

   • Please read the attached document.

   • Please have a look at the attached document.

   • See the document for details.

   • Here is the document.

   • Note that I have attached your document.

   • I have spent much time for your document.

   • Please notice the attached document.

   • My %Platzhalter 1% is attached.

   • Your %Platzhalter 1% is attached

   • I have found the %Platzhalter 1%

   • Please notice the attached %Platzhalter 1%

   • I have spent much time for the %Platzhalter 1%

   • Please read quickly.

   • For more details see the attached document.

   • For more information see the attached document.

   • Approved, here is the document.

   • The requested %Platzhalter 1% is attached!

   • I have sent the %Platzhalter 1%.

   • Please see the %Platzhalter 1%.

   • The %Platzhalter 1% is attached.

   • Here is the %Platzhalter 1%.

   • Please have a look at the %Platzhalter 1%.

   • Please read the %Platzhalter 1%.

   • Please, %Platzhalter 1%.

   • My %Platzhalter 1%.

   • The %Platzhalter 1%.

   • Your %Platzhalter 1%.


Manchmal gefolgt von einer der folgenden:

   • Yours sincerely
     

   • Thank you
     

   • Thanks


%Platzhalter 1% wird durch einen der folgenden ersetzt:
   • account; postcard; sample; developement; concept; story; report; icq
      number; e-mail; phone number; personal message; photo document; order;
      important document; diggest; final version; release; answer; bill;
      notice; requested document; description; summary; picture document;
      movie document; approved document; old document; document; mail;
      letter; homepage; detailed document; powerpoint document; excel
      document; word document; info; information; text; new document;
      textfile; user list; improved file; secound document; file; number
      list; contact list; message; note; improved document; details;
      instructions; presentation document; abuse list; archive; corrected
      document; list; approved file; report


Dateianhang:
Der Dateiname des Anhangs ist einer der folgenden:
   • account%Nummer%.pif; postcard%Nummer%.pif;
      sample%Nummer%.pif; developement%Nummer%.pif;
      concept%Nummer%.pif; story%Nummer%.pif;
      report%Nummer%.pif; icq_number%Nummer%.pif;
      e-mail%Nummer%.pif; phone number%Nummer%.pif;
      personal_message%Nummer%.pif;
      photo_document%Nummer%.pif; order%Nummer%.pif;
      important_document%Nummer%.pif; diggest%Nummer%.pif;
      final_version%Nummer%.pif; release%Nummer%.pif;
      answer%Nummer%.pif; bill%Nummer%.pif;
      notice%Nummer%.pif; requested_document%Nummer%.pif;
      description%Nummer%.pif; summary%Nummer%.pif;
      picture_document%Nummer%.pif;
      movie_document%Nummer%.pif;
      approved_document%Nummer%.pif; old_document%Nummer%.pif;
      document%Nummer%.pif; mail%Nummer%.pif;
      letter%Nummer%.pif; homepage%Nummer%.pif;
      detailed_document%Nummer%.pif;
      powerpoint_document%Nummer%.pif;
      excel_document%Nummer%.pif; word_document%Nummer%.pif;
      info%Nummer%.pif; information%Nummer%.pif;
      text%Nummer%.pif; new_document%Nummer%.pif;
      textfile%Nummer%.pif; user_list%Nummer%.pif;
      improved_file%Nummer%.pif; secound_document%Nummer%.pif;
      file%Nummer%.pif; number_list%Nummer%.pif;
      contact_list%Nummer%.pif; message%Nummer%.pif;
      note%Nummer%.pif; improved_document%Nummer%.pif;
      details%Nummer%.pif; instructions%Nummer%.pif;
      presentation_document%Nummer%.pif;
      abuse_list.%Nummer%.pif; archive%Nummer%.pif;
      corrected_document%Nummer%.pif; list%Nummer%.pif;
      approved_file%Nummer%.pif

Der Dateianhang ist eine Kopie der Malware.


 Versand Suche nach Adressen:
Es durchsucht folgende Dateien nach Emailadressen:
   • ppt; nch; mmf; mht; xml; wsh; jsp; xls; stm; ods; msg; oft; sht; html;
      htm; pl; dbx; tbb; adb; dhtm; cgi; shtm; uin; rtf; vbs; doc; wab; asp;
      mdx; mbx; cfg; php; txt; eml

 Hintertür Der folgende Port wird geöffnet:

%ausgeführte Datei% am TCP Port 6789

 DoS  Am 14/04/2004 bis 17/04/2004 werden DoS Attacken gegen folgende Ziele gestartet:
   • www.keygen.us
   • www.freemule.net
   • www.kazaa.com
   • www.emule.de
   • www.cracks.am

 Diverses Mutex:
Es werden folgende Mutexe erzeugt:
   • SyncMutex_USUkUyUnUeUtU
   • Protect_USUkUyUnUeUtU_Mutex


String:
Des Weiteren enthält es folgende Zeichenkette:
   • Now we have programmed our backdoor, it cannot be used for spam relaying, only for Skynet distribution, our advice: educate the users or update the smtp protocol, and heuristics cannot detect Skynet, becauses numerous scambler, compressors, and protectors exists including programming new features. Thanks to russia, and thanks to CCC for support. 09:34 A.M, Russia

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Ionut Slaveanu am Donnerstag, 4. Mai 2006
Die Beschreibung wurde geändert von Cosmin Ancuta am Freitag, 5. Mai 2006

zurück . . . .