Nume:Worm/Netsky.S.1
Descoperit pe data de:31/03/2004
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:20.624 Bytes
MD5:5bbb322a70a6a248369f45ece8d9e79b
Versiune IVDF:6.24.00.78 - Wednesday, March 31, 2004

 General Metoda de raspandire:
   • Email


Alias:
   •  Mcafee: W32/Netsky.r
   •  Sophos: W32/Netsky-R
   •  Panda: W32/Netsky.R.worm
   •  Eset: Win32/Netsky.P
   •  Bitdefender: Win32.Netsky.R@mm


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere malware
   • Utilizeaza propriul motor de email
   • Modificari in registri

 Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\pandaavengine.exe



Sunt create fisierele:

– %WINDIR%\uinmzertinmds.opm Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: Worm/Netsky.R

– %WINDIR%\temp09094283.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: Worm/Netsky.S.2

 Registrii sistemului Una din urmatoarele valori este adaugata in registri pentru pornirea automata a procesului dupa reboot:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "PandaAVEngine"="%WINDIR%\PandaAVEngine.exe"

 Email Are un motor SMTP integrat. Va fi facuta o conexiune directa cu serverul destinatar. Iata caracteristicile lui:
Foloseste Messaging Application Programming Interface (MAPI) pentru a trimite email-uri. Iata caracteristicile lui:


Catre:
– Adrese de email gasite pe sistem.
– Adrese de email obtinute din WAB (Windows Address Book)
Subiectul mesajului se compune din:

    Incepe cu unul din urmatoarele:
   • Re:

    continuand cu una din urmatoarele:
   • Document

    Continuand cu una din urmatoarele:
   • %numar%


Corpul email-ului:
– Contine cod HTML.
Corpul email-ului este unul din textele:

   • Your document is attached.


In continuare:

   • No virus found
     Powered by the new Norton OnlineScan
     Get protected:


Atasament:

–  Incepe cu unul din urmatoarele:
   • Document

continuand cu una din urmatoarele:
   • %numar%

    Urmat de una din urmatoarele extensii false:
   • .pif

Atasamentul este o copie malware.

 Email Cautare adrese:
Cauta adrese de email in urmatoarele fisiere:
   • .xml; .wsh; .jsp; .msg; .oft; .sht; .dbx; .tbb; .adb; .dhtm; .cgi;
      .shtm; .uin; .rtf; .vbs; .doc; .wab; .asp; .php; .txt; .eml; .html;
      .htm; .pl

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Petre Galan on Friday, March 5, 2010
Description updated by Petre Galan on Friday, March 5, 2010

Back . . . .