Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:27.648 Bytes
MD5 Prüfsumme:301b39b3e6aafb7cae5a9d84e1c78cf6

 General Verbreitungsmethode:
   • Email


Aliases:
   •  Mcafee: W32/Netsky.k
   •  Sophos: W32/Netsky-K
   •  Panda: W32/Netsky.K.worm
   •  Eset: Win32/Netsky.K
   •  Bitdefender: Win32.Generic.495186


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt schädliche Dateien
   • Verfügt über eigene Email Engine
   • Änderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %WINDIR%\avpguard.exe

 Registry Einer der folgenden Werte wird dem Registry key hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "My AV"="%WINDIR%\avpguard.exe -av serv"

 Email Die Malware verfügt über eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:
Die Malware nutzt Messaging Application Programming Interface (MAPI) um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:


Von:
Die Absenderadresse wurde gefälscht.


An:
– Email Adressen welche in ausgewählten Dateien auf dem System gefunden wurden.
– Gesammelte Email Adressen aus WAB (Windows Addressbuch)


Betreff:
Eine der folgenden:
   • Hi %Benutzernamen der Emailadresse des Empfängers%, your
      product; Hello %Benutzernamen der Emailadresse des
      Empfängers%, your letter; Re: Hi %Benutzernamen der
      Emailadresse des Empfängers%, your archive; Re: %Benutzernamen
      der Emailadresse des Empfängers%, your text; Re: Hello
      %Benutzernamen der Emailadresse des Empfängers%, your bill;
      Re: Hi %Benutzernamen der Emailadresse des Empfängers%, your
      details; Re: Hello %Benutzernamen der Emailadresse des
      Empfängers%, my details; Re: Hi %Benutzernamen der
      Emailadresse des Empfängers%, your word file; Re: Hello
      %Benutzernamen der Emailadresse des Empfängers%, your excel
      file; Re: Hi %Benutzernamen der Emailadresse des Empfängers%,
      details; Re: Hello %Benutzernamen der Emailadresse des
      Empfängers%, Approved; Re: Hello %Benutzernamen der
      Emailadresse des Empfängers%, your software; Re: Hi
      %Benutzernamen der Emailadresse des Empfängers%, your music;
      Re: Dear %Benutzernamen der Emailadresse des Empfängers%,
      Here; Re: Re: Re: Hello %Benutzernamen der Emailadresse des
      Empfängers%, your document; Re: Hi %Benutzernamen der
      Emailadresse des Empfängers%; Re: Dear %Benutzernamen der
      Emailadresse des Empfängers%, Hi; Re: Re: Hi %Benutzernamen
      der Emailadresse des Empfängers%, your message; Re: Here
      %Benutzernamen der Emailadresse des Empfängers%, your picture;
      Re: Hi %Benutzernamen der Emailadresse des Empfängers%, here
      is the document; Re: Hello %Benutzernamen der Emailadresse des
      Empfängers%, your document; Re: %Benutzernamen der
      Emailadresse des Empfängers%, thanks!; Re: Re: %Benutzernamen
      der Emailadresse des Empfängers%, thanks!; Re: Re: Hi
      %Benutzernamen der Emailadresse des Empfängers%, document; Re:
      Hello %Benutzernamen der Emailadresse des Empfängers%,
      document; www..freepage.com, your website; Na %Benutzernamen
      der Emailadresse des Empfängers%; Best %Benutzernamen der
      Emailadresse des Empfängers%; Love %Benutzernamen der
      Emailadresse des Empfängers%; Good morning %Benutzernamen der
      Emailadresse des Empfängers%; Have a good day %Benutzernamen
      der Emailadresse des Empfängers%; Dear %Benutzernamen der
      Emailadresse des Empfängers%; To %Benutzernamen der
      Emailadresse des Empfängers% , it's me; Welcome %Benutzernamen
      der Emailadresse des Empfängers%; Moin %Benutzernamen der
      Emailadresse des Empfängers%; Hello %Benutzernamen der
      Emailadresse des Empfängers%; Your account %Benutzernamen der
      Emailadresse des Empfängers% is expired!; Hey %Benutzernamen
      der Emailadresse des Empfängers%; Hi %Benutzernamen der
      Emailadresse des Empfängers%; Hi Mr. %Benutzernamen der
      Emailadresse des Empfängers%; Moi %Benutzernamen der
      Emailadresse des Empfängers%; He %Benutzernamen der
      Emailadresse des Empfängers%; Yours faithfully, %Benutzernamen
      der Emailadresse des Empfängers%; Message to %Benutzernamen
      der Emailadresse des Empfängers%; Hi Mrs. %Benutzernamen der
      Emailadresse des Empfängers%; Is %Benutzernamen der
      Emailadresse des Empfängers%.doc yours?; Is %Benutzernamen der
      Emailadresse des Empfängers%.xls yours?; Whats up
      %Benutzernamen der Emailadresse des Empfängers%; Hi; Your
      product; Your letter; Re: corrected homework; Re: I've found your
      document; Re: Your bill; Re: hello again; Re: hi again; Re: part 3;
      Re: important document part 2; Re: important; Re: Your data; Re: Your
      application; Re: your music; Re: excel document; Re: Re: Re: word
      document; Re: Your details; Re: My details; Re: Your requested file;
      Re: Read it immediately; Re: Approved; Re: Your software; Re: my
      memberlist; Re: Your document; Re: Your file; Re: Your important
      document

Der Body der Email ist einer der folgenden:
   • My details are in the attached file.
   • I have corrected your document.
   • Please do not forget to read the important document.
   • I have an interesting document about you.
   • The sample is attached.
   • Your personal document is attached.
   • Your file is attached to this mail.
   • Note that I have attached your file.
   • The important document is attached.
   • Please read the document. It's important.
   • Your document is attached to this mail.
   • See the attachment for further details.
   • Your file is attached. Use this password for the file: .
   • Please read the attached file. Password for the file is .
   • Please have a look at the attached file. Password for decrypting is .
   • See the attached file for details. Password is .
   • Here is the file. My password is .
   • Your document is attached. Your password is .


Dateianhang:
Der Dateiname des Anhangs ist einer der folgenden:
   • website_.pif; your_product_.pif; letter_.pif;
      archive.pif; your_text.pif; bill_.pif;
      your_details.pif; _details.pif;
      _document_word.pif; _document_excel.pif;
      _my_details.pif; _all_document.pif;
      _application.pif; mp3music_.pif; yours.pif;
      document_4351.pif; _picture.pif; _file.pif;
      _message_details.pif; yourpicture.pif;
      _document_full.pif; _your_message_part2.pif;
      information.pif; document.pif; _your_document.pif

Der Dateianhang ist eine Kopie der Malware.

 Versand Suche nach Adressen:
Es durchsucht folgende Dateien nach Emailadressen:
   • .xml; .wsh; .jsp; .dhtm; .cgi; .shtm; .msg; .oft; .sht; .dbx; .tbb;
      .adb; .doc; .wab; .asp; .uin; .rtf; .vbs; .html; .htm; .pl; .php;
      .txt; .eml

 Diverses String:
Des Weiteren enthält es folgende Zeichenketten:
   • Please remove the file avpguard.exe from your Windows-Directory and do not open attachments anymore. It can be a virus like bagle and mydoom or similar malicios code. This is the Skynet-Antivirus!
   • SkyNet has the full control of your system now

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Petre Galan am Freitag, 5. März 2010
Die Beschreibung wurde geändert von Petre Galan am Montag, 8. März 2010

zurück . . . .