Name:Worm/Netsky.S.1
Entdeckt am:31/03/2004
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:20.624 Bytes
MD5 Prüfsumme:5bbb322a70a6a248369f45ece8d9e79b
IVDF Version:6.24.00.78 - Mittwoch, 31. März 2004

 General Verbreitungsmethode:
   • Email


Aliases:
   •  Mcafee: W32/Netsky.r
   •  Sophos: W32/Netsky-R
   •  Panda: W32/Netsky.R.worm
   •  Eset: Win32/Netsky.P
   •  Bitdefender: Win32.Netsky.R@mm


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt schädliche Dateien
   • Verfügt über eigene Email Engine
   • Änderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %WINDIR%\pandaavengine.exe



Es werden folgende Dateien erstellt:

%WINDIR%\uinmzertinmds.opm Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/Netsky.R

%WINDIR%\temp09094283.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/Netsky.S.2

 Registry Einer der folgenden Werte wird dem Registry key hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "PandaAVEngine"="%WINDIR%\PandaAVEngine.exe"

 Email Die Malware verfügt über eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:
Die Malware nutzt Messaging Application Programming Interface (MAPI) um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:


An:
– Email Adressen welche in ausgewählten Dateien auf dem System gefunden wurden.
– Gesammelte Email Adressen aus WAB (Windows Addressbuch)
Der Betreff wird wie folgt zusammengesetzt:

    Es beginnt mit einer der folgenden:
   • Re:

    Gefolgt von einer der folgenden:
   • Document

    Gefolgt von einer der folgenden:
   • %Nummer%


Body:
– Verwendung von HTML Inhalten.
Der Body der Email ist einer der folgenden:

   • Your document is attached.


Gefolgt von einer der folgenden:

   • No virus found
     Powered by the new Norton OnlineScan
     Get protected:


Dateianhang:

–  Es beginnt mit einer der folgenden:
   • Document

Gefolgt von einer der folgenden:
   • %Nummer%

    Gefolgt von einer der folgenden gefälschen Dateiendungen:
   • .pif

Der Dateianhang ist eine Kopie der Malware.

 Versand Suche nach Adressen:
Es durchsucht folgende Dateien nach Emailadressen:
   • .xml; .wsh; .jsp; .msg; .oft; .sht; .dbx; .tbb; .adb; .dhtm; .cgi;
      .shtm; .uin; .rtf; .vbs; .doc; .wab; .asp; .php; .txt; .eml; .html;
      .htm; .pl

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Petre Galan am Freitag, 5. März 2010
Die Beschreibung wurde geändert von Petre Galan am Freitag, 5. März 2010

zurück . . . .