Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:Worm/NetSky.X.12
Entdeckt am:09/01/2007
Art:Worm
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigre:29.184 Bytes
MD5 Prfsumme:47ce2ebadf10b72efe09623e05499778
VDF Version:6.36.01.018
IVDF Version:6.36.01.018

 General Verbreitungsmethode:
   • Email


Aliases:
   •  Mcafee: W32/Netsky@MM
   •  Kaspersky: Email-Worm.Win32.NetSky.x
   •  Grisoft: I-Worm/Netsky.EC
   •  Eset: Win32/Netsky.N
   •  Bitdefender: Win32.Netsky.W@mm


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt schdliche Dateien
   • Verfgt ber eigene Email Engine
   • nderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %WINDIR%\DiskMonitor.exe



Es werden folgende Dateien erstellt:

– MIME enkodierte Kopie seiner selbst:
   • %WINDIR%\constant
   • %WINDIR%\your_details.doc
   • %WINDIR%\666!.hel
   • %WINDIR%\document.htm
   • %WINDIR%\voltaput
   • %WINDIR%\doc.txt
   • %WINDIR%\mulala!!
   • %WINDIR%\doc.pif
   • %WINDIR%\vaca.vac
   • %WINDIR%\your_details.scr
   • %WINDIR%\puta.vac
   • %WINDIR%\document.exe
   • %WINDIR%\baseadofum
   • %WINDIR%\paula!.ama

 Registry Der folgende Registryschlssel wird hinzugefgt um den Prozess nach einem Neustart des Systems erneut zu starten.

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "AleVi"="%WINDIR%\DiskMonitor.exe"



Die Werte der folgenden Registry keys werden gelscht:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Explorer
   • system
   • msgsvr32
   • service
   • DELETE ME
   • Sentry
   • Taskmon
   • Windows Services Host

–  [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Explorer
   • au.exe
   • d3dupdate.exe
   • OLE
   • gouday.exe
   • rate.exe
   • Taskmon
   • Windows Services Host
   • sysmon.exe
   • srate.exe
   • ssate.exe

–  [HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}]
   • InProcServer32

 Email Die Malware verfgt ber eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgefhrt:


Von:
Die Absenderadresse wurde geflscht.


An:
– Email Adressen welche in ausgewhlten Dateien auf dem System gefunden wurden.


Betreff:
Manchmal kann die Betreffzeile auch leer sein.
Des Weiteren kann die Betreffzeile zufllige Zeichen enthalten.
Der Betreff wird wie folgt zusammengesetzt:

    Manchmal beginnt er mit einem der folgenden:
   • RE:

    Manchmal gefolgt von einer der folgenden:
   • RE:

    Gefolgt von einer der folgenden:
   • Nossas contas leia!
   • Aprovado!
   • Delicia!
   • Contas!
   • Obrigado!
   • Passou!!
   • Valeu!!
   • Grana
   • Pena
   • sol
   • BRAS


Body:
– Verwendung von HTML Inhalten.


Der Body der Email ist einer der folgenden:

   • @Lamento sabe!

   • Olha a festa!!

   • Nao sei o que eh isso me diga! Tabela de precos de Natal veja!!!!.

   • Conta regularizada veja aqui!!

   • Veja os arquivos que te mandei aqui!!!.

   • Proposta de emprego veja

   • O que isso heim

   • Conta Fechada

   • Quero sua opiniao leia tudo ta bjs!

   • Tenho pressa ve e me liga!!!

   • Olha nossas fotos (RS)

   • Leia rapido o arquivo!!!!

   • Nossas contas veja detalhe

   • Por-favor entre em contato!!!.

   • Grande Oportunidade veja os detalhes !!!.


Gefolgt von einer der folgenden:

   • --------------------------------------------
     %Dateiname des Dateianhangs%:Nao Tem Virus!
     Norton AntiVirus Procura
     Progressiva
     FiqueProtegido www.symantec.com


Dateianhang:
Der Dateiname des Anhangs wird aus folgenden zusammengesetzt:

–  Es beginnt mit einer der folgenden:
   • Bala
   • Cambau
   • Fotos!!
   • Me Liga ta???
   • Me liga vai
   • Mentira
   • Nossa Conta
   • Olha isso!!
   • Paes
   • Saia de Ferias
   • Sandra!!
   • Sua Conta!!!
   • Te Amo!
   • Vaga
   • Vida

Manchmal gefolgt von einer der folgenden:
   • _%Benutzernamen der Emailadresse des Empfngers%

    Die Dateierweiterung ist eine der folgenden:
   • .zip
   • .pif
   • .exe
   • .scr



Hier sind einige Beispiel wie der Dateinamen des Anhangs aussehen knnte:
   • Bala__%Benutzernamen der Emailadresse des Empfngers%.exe
   • Sandra!!.pif

Der Dateianhang ist eine Kopie der Malware.



Die Email knnte wie eine der folgenden aussehen.



 Versand Suche nach Adressen:
Es durchsucht folgende Dateien nach Emailadressen:
   • .xml; .wsh; .jsp; .msg; .oft; .sht; .dbx; .tbb; .adb; .dhtm; .cgi;
      .shtm; .uin; .rtf; .vbs; .doc; .wab; .asp; .php; .txt; .eml; .html;
      .htm; .pl


Anfgen von MX Zeichenketten:
Um die IP Adresse des Emailservers zu bekommen werden folgende Zeichenketten dem Domain Namen vorgesetzt:
   • mail.
   • mx.
   • mx2.

 Diverses Mutex:
Es wird folgender Mutex erzeugt:
   • VxBrasil_Causando!


String:
Des Weiteren enthlt es folgende Zeichenkette:
   • Se voce esta lendo isso veja bem quero dizer que consigo codar um Worm sozinho so que nao estou afim entao ve se para de criticar algo que alguem fez e faca algo ta bom. Eh sim eh uma versao do NetSky Disassemblada e modificada Falou. Queria fazer um protesto aqui com essa merda de WORM que ja deu o que tinha que dar. Aonde nosso BRASIL vai parar? Queria um emprego descente so que so me derao migalhas? Ate quando teremos que tolerar essas pessoas que dizem fazer pela gente e fazem o mesmo que todo mundo mentem e roubao? Queria mais que um emprego descente queria ter Orgulho de ser BRASILEIRO!!!VXBRASIL NOS NAO ESTAMOS MORTOS SE PREPAREM PARA UMA NOVA ERA DOS VIRUS DE COMPUTADOR.11/11/2006 SAMPA!

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • PE Pack

Die Beschreibung wurde erstellt von Monica Ghitun am Dienstag, 9. Januar 2007
Die Beschreibung wurde geändert von Monica Ghitun am Dienstag, 9. Januar 2007

zurück . . . .