Vollständige Virenbeschreibung

Name:	Worm/Netsky.O.2
Entdeckt am:	16/04/2004
Art:	Worm
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig bis mittel
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	24.064 Bytes
MD5 Prüfsumme:	e6d771c24e8dbaf9543851e893c3e304
IVDF Version:	6.25.00.16 - Freitag, 16. April 2004

General Verbreitungsmethode:
   • Email

Aliases:
   • Mcafee: W32/Netsky.w
   • Sophos: W32/Netsky-N
   • Panda: W32/Netsky.W.worm
   • Eset: Win32/Netsky.N
   • Bitdefender: Win32.NetSky.X@mm

Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Erstellt schädliche Dateien
   • Verfügt über eigene Email Engine
   • Änderung an der Registry

Dateien Eine Kopie seiner selbst wird hier erzeugt:
• %WINDIR%\VisualGuard.exe

Es werden folgende Dateien erstellt:

– %WINDIR%\zip1.tmp
– %WINDIR%\zip4.tmp
– %WINDIR%\base64.tmp
– %WINDIR%\zip3.tmp
– %WINDIR%\zip5.tmp Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/Netsky.W.1

– %WINDIR%\zipped.tmp Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/Netsky.X

– %WINDIR%\zip2.tmp
– %WINDIR%\zip6.tmp

Registry Einer der folgenden Werte wird dem Registry key hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "NetDy"="%WINDIR%\VisualGuard.exe"

Die Werte der folgenden Registry keys werden gelöscht:

– [HKLM\SOFTWARE\Classes\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\
   InProcServer32]
   • "@"
   • "ThreadingModel"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "d3dupdate.exe"
   • "Explorer"
   • "Taskmon"
   • "Windows Services Host"
   • "au.exe"
   • "sysmon.exe"
   • "ssate.exe"
   • "gouday.exe"
   • "rate.exe"
   • "srate.exe"
   • "OLE"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Explorer"
   • "service"
   • "system."
   • "Taskmon"
   • "Sentry"
   • "Windows Services Host"
   • "DELETE ME"
   • "msgsvr32"

Email Die Malware verfügt über eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:
Die Malware nutzt Messaging Application Programming Interface (MAPI) um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:

Von:
Die Absenderadresse wurde gefälscht.
Die Absenderadresse ist des Benutzers Outlook Benutzerkennung

An:
– Email Adressen welche in ausgewählten Dateien auf dem System gefunden wurden.
– Gesammelte Email Adressen aus WAB (Windows Addressbuch)
Der Betreff wird wie folgt zusammengesetzt:

    Es beginnt mit einer der folgenden:
   • Re:

    Manchmal gefolgt von einer der folgenden:
   • Re:

    Gefolgt von einer der folgenden:
   • read it immediately
   • important
   • improved
   • patched
   • corrected
   • approved
   • thanks!
   • hello
   • hi
   • here
   • document_all
   • text
   • message
   • data
   • excel document
   • word document
   • bill
   • screensaver
   • application
   • website
   • product
   • letter
   • information
   • details
   • file
   • document
   • important
   • approved
   • my
   • your

Body:
– Verwendung von HTML Inhalten.
Der Body der Email ist einer der folgenden:

   • Your details.
     Your document.
     I have received your document. The corrected document is attached.
     I have attached your document.
     Your document is attached to this mail.
     Authentication required.
     Requested file.
     See the file.
     Please read the important document.
     Please confirm the document.
     Your file is attached.
     Please read the document.
     Your document is attached.
     Please read the attached file.
     Please see the attached file for details.

Gefolgt von einer der folgenden:

   • %Dateiname des Dateianhangs%: No virus found
     Powered by the new Norton OnlineScan
     Get protected: www.symantec.com

Dateianhang:
Die Dateinamen der Anhänge wird aus folgenden zusammengesetzt:

– Es beginnt mit einer der folgenden:
   • important
   • improved
   • patched
   • corrected
   • approved
   • thanks!
   • hello
   • hi
   • here
   • document_all
   • text
   • message
   • data
   • excel document
   • word document
   • bill
   • screensaver
   • application
   • website
   • product
   • letter
   • information
   • details
   • file
   • document
   • important
   • approved
   • my
   • your

    Gefolgt von einer der folgenden gefälschen Dateiendungen:
   • .zip
   • .pif
   • .exe
   • .scr

Hier sind einige Beispiel wie der Dateinamen des Anhangs aussehen könnte:
   • application.pif
   • application.scr
   • data.exe
   • details.zip
   • document.exe
   • document_all.scr
   • document_all_infoservice.pif
   • excel document.zip
   • file.pif
   • information_hot-line.zip
   • message.zip
   • product.pif
   • screensaver.scr
   • website_mts.zip

Der Dateianhang ist eine Kopie der Malware.

Versand Suche nach Adressen:
Es durchsucht folgende Dateien nach Emailadressen:
   • .xml; .wsh; .jsp; .msg; .oft; .sht; .dbx; .tbb; .adb; .dhtm; .cgi;
      .shtm; .uin; .rtf; .vbs; .doc; .wab; .asp; .php; .txt; .eml; .html;
      .htm; .pl

Diverses String:
Des Weiteren enthält es folgende Zeichenketten:
   • <*>NetDy: Thanks to the SkyNet alias NetSky crew for the sourcecode.
   • <*>NetDy: We have rewritten NetSky.
   • <*>NetDy: Thats a good tactic to detroy the bagle and mydoom worms.
   • <*>NetDy: Our group will continue the war.
   • <*>NetDy: Malware writers 'End' comes true.
   • <*>NetDy: Our Social Engineering is the best *lol* (You have no virus symantec says!).
   • <*>NetDy: ----------------------------------------------------------------------------
   • <*>NetDy: We are greeting all russia people!

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Petre Galan am Freitag, 5. März 2010
Die Beschreibung wurde geändert von Petre Galan am Montag, 8. März 2010

zurück . . . .