Vollständige Virenbeschreibung

Name:	Worm/Netsky.T
Entdeckt am:	05/04/2004
Art:	Worm
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig bis mittel
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	18.432 Bytes
MD5 Prüfsumme:	5e12dace2155beca61c050ad2deb519a
IVDF Version:	6.24.00.86 - Montag, 5. April 2004

General Verbreitungsmethode:
   • Email

Aliases:
   • Mcafee: W32/Netsky.s
   • Sophos: W32/Netsky-S
   • Panda: W32/Netsky.S.worm
   • Eset: Win32/Netsky.S
   • Bitdefender: Win32.Netsky.S@mm

Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Erstellt schädliche Dateien
   • Verfügt über eigene Email Engine
   • Änderung an der Registry

Dateien Eine Kopie seiner selbst wird hier erzeugt:
• %WINDIR%\EasyAV.exe

Es wird folgende Datei erstellt:

– %WINDIR%\uinmzertinmds.opm Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/Netsky.T

Registry Einer der folgenden Werte wird dem Registry key hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "EasyAV"="%WINDIR%\EasyAV.exe"

Email Die Malware verfügt über eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:
Die Malware nutzt Messaging Application Programming Interface (MAPI) um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:

Von:
Die Absenderadresse wurde gefälscht.
Die Absenderadresse ist des Benutzers Outlook Benutzerkennung

An:
– Email Adressen welche in ausgewählten Dateien auf dem System gefunden wurden.
– Gesammelte Email Adressen aus WAB (Windows Addressbuch)

Betreff:
Eine der folgenden:
   • Hello!; Hi!; Re: Important; Important; Re: My details; My details; Re:
      Your information; Your information; Re: Your details; Your details;
      Re: Your document; Your document; Re: Request; Request; Re: Thanks
      you!; Thank you!; Re: Approved; Approved; Re: Hello; Re: Hi; Hello; Hi

    Manchmal beginnt er mit einem der folgenden:

Body:
– Verwendung von HTML Inhalten.
Der Body der Email ist einer der folgenden:

   • Hello!
     Hi!

   • Note that I have attached your document.
     My %Dateiname des Dateianhangs%.
     The %Dateiname des Dateianhangs%.
     I have spent much time for the %Dateiname des Dateianhangs%.
     I have spent much time for your document.
     Your %Dateiname des Dateianhangs%.
     Please notice the attached %Dateiname des Dateianhangs%.
     Please notice the attached document.
     Please read quickly.
     For more details see the attached document.
     For more information see the attached document.
     Approved, here is the document.
     I have found the %Dateiname des Dateianhangs%.
     My %Dateiname des Dateianhangs% is attached.
     Your %Dateiname des Dateianhangs% is attached.
     Please, %Dateiname des Dateianhangs%.
     Your file is attached to this mail.
     Please read the attached document.
     Please have a look at the attached document.
     See the document for details.
     Here is the document.
     The requested %Dateiname des Dateianhangs% is attached!
     I have sent the %Dateiname des Dateianhangs%.
     Please see the %Dateiname des Dateianhangs%.
     The %Dateiname des Dateianhangs% is attached.
     Here is the %Dateiname des Dateianhangs%.
     Please have a look at the %Dateiname des Dateianhangs%.
     Please read the %Dateiname des Dateianhangs%.

Manchmal gefolgt von einer der folgenden:

   • Yours sincerely
     Thank you
     Thanks

Manchmal gefolgt von einer der folgenden:

   • +++ X-Attachment-Type: document
     +++ X-Attachment-Status: no virus found
     +++ Powered by the new Panda OnlineAntiVirus
     +++ Website: www.pandasoftware.com
     +++ X-Attachment-Type: document
     +++ X-Attachment-Status: no virus found
     +++ Powered by the new MCAfee OnlineAntiVirus
     +++ Homepage: www.mcafee.com
     +++ X-Attachment-Type: document
     +++ X-Attachment-Status: no virus found
     +++ Powered by the new F-Secure OnlineAntiVirus
     +++ Visit us: www.f-secure.com
     +++ X-Attachment-Type: document
     +++ X-Attachment-Status: no virus found
     +++ Powered by the new Norton OnlineAntiVirus
     +++ Free trial: www.norton.com

Dateianhang:
Die Dateinamen der Anhänge wird aus folgenden zusammengesetzt:

– Es beginnt mit einer der folgenden:
   • abuse_list
   • approved_document
   • archive
   • bill
   • developement
   • diggest
   • excel_document
   • file
   • homepage
   • icq_number
   • information
   • message
   • movie_document
   • notice
   • number_list
   • postcard
   • report
   • story
   • summary
   • word_document

Gefolgt von einer der folgenden:
   • %Nummer%

    Gefolgt von einer der folgenden gefälschen Dateiendungen:
   • .pif

Hier sind einige Beispiel wie der Dateinamen des Anhangs aussehen könnte:
   • abuse_list4.pif
   • approved_document7.pif
   • bill1.pif
   • developement7.pif
   • file6.pif

Der Dateianhang ist eine Kopie der Malware.

Versand Suche nach Adressen:
Es durchsucht folgende Dateien nach Emailadressen:
   • .xml; .wsh; .jsp; .msg; .oft; .sht; .dbx; .tbb; .adb; .dhtm; .cgi;
      .shtm; .uin; .rtf; .vbs; .doc; .wab; .asp; .php; .txt; .eml; .html;
      .htm; .pl

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Petre Galan am Freitag, 5. März 2010
Die Beschreibung wurde geändert von Petre Galan am Montag, 8. März 2010

zurück . . . .