Nume:Worm/NetSky.AA
Descoperit pe data de:22/05/2005
Tip:Vierme
ITW:Da
Numar infectii raportate:Mediu
Potential de raspandire:Mediu
Potential de distrugere:Scazut
Fisier static:Da
Marime:27.136 Bytes
MD5:c43fa1b082302f3b8e01d77fb95c78c6
Versiune VDF:6.25.00.34

 General Metoda de raspandire:
   • Email


Alias:
   •  Symantec: W32.Netsky.Z@mm
   •  Mcafee: W32/Netsky
   •  Kaspersky: Email-Worm.Win32.NetSky.aa
   •  TrendMicro: WORM_NETSKY.Z
   •  F-Secure: W32/Netsky.AK@mm
   •  Grisoft: I-Worm/Netsky.Z
   •  VirusBuster: I-Worm.NetSky.Z1
   •  Bitdefender: Win32.Netsky.AA@mm


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Utilizeaza propriul motor de email
   • Modificari in registri

 Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\Jammer2nd.exe



Sunt create fisierele:

– Creeaza o arhiva ce contine o copie malware:
   • %WINDIR%\pk_zip_alg.log

– Copii codificate MIME:
   • %WINDIR%\pk_zip1.log
   • %WINDIR%\pk_zip2.log
   • %WINDIR%\pk_zip3.log
   • %WINDIR%\pk_zip4.log
   • %WINDIR%\pk_zip5.log
   • %WINDIR%\pk_zip6.log
   • %WINDIR%\pk_zip7.log
   • %WINDIR%\pk_zip8.log

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Jammer2nd"="%WINDIR%\Jammer2nd.exe"

 Email Are un motor SMTP integrat. Va fi facuta o conexiune directa cu serverul destinatar. Iata caracteristicile lui:


De la:
Adresa este falsificata.
Adrese generate. Va rugam nu presupuneti ca a fost intentia expeditorului sa va trimita acest email. Este posibil ca el sa nu stie ca este infectat sau chiar sa nu aiba sistemul infectat. In plus, este posibil sa primiti email-uri returnate care sa va indice ca sunteti infectat, lucru care poate fi de asemenea fals.


Catre:
– Adrese de email gasite pe sistem.
– Adrese de email obtinute din WAB (Windows Address Book)
Destinatarul mesajului este:
   • jamainlbbbsdef@yahoo.com


Subiect:
Unul din urmatoarele:
   • Document
   • Hello
   • Hi
   • Important
   • Information



Corpul email-ului:
Corpul email-ului este unul din textele:
   • Important bill!
   • Important data!
   • Important details!
   • Important document!
   • Important informations!
   • Important notice!
   • Important textfile!
   • Important!


Atasament:
Numele fisierului atasat este unul din urmatoarele:
   • Bill.zip
   • Data.zip
   • Details.zip
   • Important.zip
   • Informations.zip
   • Notice.zip
   • Part-2.zip
   • Textfile.zip

 Email Cautare adrese:
Cauta adrese de email in urmatoarele fisiere:
   • .ppt; .xml; .wsh; .jsp; .msg; .oft; .sht; .nch; .mmf; .mht; .dbx;
      .tbb; .adb; .xls; .stm; .ods; .dhtm; .cgi; .shtm; .uin; .rtf; .vbs;
      .php; .txt; .eml; .doc; .wab; .asp; .html; .htm; .pl; .mdx; .mbx; .cfg


Rezolvarea adreselor internet:
Daca cererea folosind serverul DNS implicit esueaza, efectueaza urmatoarele
Se poate conecta la serverele DNS:
   • 212.44.160.8; 195.185.185.195; 151.189.13.35; 213.191.74.19;
      193.189.244.205; 145.253.2.171; 193.141.40.42; 194.25.2.134;
      194.25.2.133; 194.25.2.132; 194.25.2.131; 193.193.158.10;
      212.7.128.165; 212.7.128.162; 193.193.144.12; 217.5.97.137;
      195.20.224.234; 194.25.2.130; 194.25.2.129; 212.185.252.136;
      212.185.253.70; 212.185.252.73

 Backdoor Deschide portul

%fisier executat% pe portul TCP 665 pentru a oferi functionalitate de backdoor.

 DoS (Denial of Service)  Pe data de 02/05/2004 lanseaza un atac DoS asupra urmatoarelor destinatii:
   • www.nibis.de
   • www.medinfo.ufl.edu
   • www.educa.ch

 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • (S)(k)(y)(N)(e)(t)


Sir de caractere:
In plus, mai contine urmatorul sir de caractere:
   • :::::::::::They never learn it!:::::::::::

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • ASPack 2.11c

Description inserted by Razvan Olteanu on Monday, August 29, 2005
Description updated by Andrei Ivanes on Tuesday, March 14, 2006

Back . . . .