Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:27.648 Bytes
MD5:301b39b3e6aafb7cae5a9d84e1c78cf6

 General Metoda de raspandire:
   • Email


Alias:
   •  Mcafee: W32/Netsky.k
   •  Sophos: W32/Netsky-K
   •  Panda: W32/Netsky.K.worm
   •  Eset: Win32/Netsky.K
   •  Bitdefender: Win32.Generic.495186


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere malware
   • Utilizeaza propriul motor de email
   • Modificari in registri

 Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\avpguard.exe

 Registrii sistemului Una din urmatoarele valori este adaugata in registri pentru pornirea automata a procesului dupa reboot:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "My AV"="%WINDIR%\avpguard.exe -av serv"

 Email Are un motor SMTP integrat. Va fi facuta o conexiune directa cu serverul destinatar. Iata caracteristicile lui:
Foloseste Messaging Application Programming Interface (MAPI) pentru a trimite email-uri. Iata caracteristicile lui:


De la:
Adresa este falsificata.


Catre:
– Adrese de email gasite pe sistem.
– Adrese de email obtinute din WAB (Windows Address Book)


Subiect:
Unul din urmatoarele:
   • Hi %nume utilizator al adresei destinatarului%, your product;
      Hello %nume utilizator al adresei destinatarului%, your letter;
      Re: Hi %nume utilizator al adresei destinatarului%, your
      archive; Re: %nume utilizator al adresei destinatarului%, your
      text; Re: Hello %nume utilizator al adresei destinatarului%,
      your bill; Re: Hi %nume utilizator al adresei destinatarului%,
      your details; Re: Hello %nume utilizator al adresei
      destinatarului%, my details; Re: Hi %nume utilizator al adresei
      destinatarului%, your word file; Re: Hello %nume utilizator al
      adresei destinatarului%, your excel file; Re: Hi %nume
      utilizator al adresei destinatarului%, details; Re: Hello %nume
      utilizator al adresei destinatarului%, Approved; Re: Hello
      %nume utilizator al adresei destinatarului%, your software; Re:
      Hi %nume utilizator al adresei destinatarului%, your music; Re:
      Dear %nume utilizator al adresei destinatarului%, Here; Re: Re:
      Re: Hello %nume utilizator al adresei destinatarului%, your
      document; Re: Hi %nume utilizator al adresei destinatarului%;
      Re: Dear %nume utilizator al adresei destinatarului%, Hi; Re:
      Re: Hi %nume utilizator al adresei destinatarului%, your
      message; Re: Here %nume utilizator al adresei destinatarului%,
      your picture; Re: Hi %nume utilizator al adresei
      destinatarului%, here is the document; Re: Hello %nume
      utilizator al adresei destinatarului%, your document; Re: %nume
      utilizator al adresei destinatarului%, thanks!; Re: Re: %nume
      utilizator al adresei destinatarului%, thanks!; Re: Re: Hi
      %nume utilizator al adresei destinatarului%, document; Re:
      Hello %nume utilizator al adresei destinatarului%, document;
      www.%sir de caractere%.freepage.com, your website; Na %nume
      utilizator al adresei destinatarului%; Best %nume utilizator al
      adresei destinatarului%; Love %nume utilizator al adresei
      destinatarului%; Good morning %nume utilizator al adresei
      destinatarului%; Have a good day %nume utilizator al adresei
      destinatarului%; Dear %nume utilizator al adresei
      destinatarului%; To %nume utilizator al adresei
      destinatarului% , it's me; Welcome %nume utilizator al adresei
      destinatarului%; Moin %nume utilizator al adresei
      destinatarului%; Hello %nume utilizator al adresei
      destinatarului%; Your account %nume utilizator al adresei
      destinatarului% is expired!; Hey %nume utilizator al adresei
      destinatarului%; Hi %nume utilizator al adresei
      destinatarului%; Hi Mr. %nume utilizator al adresei
      destinatarului%; Moi %nume utilizator al adresei
      destinatarului%; He %nume utilizator al adresei
      destinatarului%; Yours faithfully, %nume utilizator al adresei
      destinatarului%; Message to %nume utilizator al adresei
      destinatarului%; Hi Mrs. %nume utilizator al adresei
      destinatarului%; Is %nume utilizator al adresei
      destinatarului%.doc yours?; Is %nume utilizator al adresei
      destinatarului%.xls yours?; Whats up %nume utilizator al
      adresei destinatarului%; Hi; Your product; Your letter; Re:
      corrected homework; Re: I've found your document; Re: Your bill; Re:
      hello again; Re: hi again; Re: part 3; Re: important document part 2;
      Re: important; Re: Your data; Re: Your application; Re: your music;
      Re: excel document; Re: Re: Re: word document; Re: Your details; Re:
      My details; Re: Your requested file; Re: Read it immediately; Re:
      Approved; Re: Your software; Re: my memberlist; Re: Your document; Re:
      Your file; Re: Your important document

Corpul email-ului este unul din textele:
   • My details are in the attached file.
   • I have corrected your document.
   • Please do not forget to read the important document.
   • I have an interesting document about you.
   • The sample is attached.
   • Your personal document is attached.
   • Your file is attached to this mail.
   • Note that I have attached your file.
   • The important document is attached.
   • Please read the document. It's important.
   • Your document is attached to this mail.
   • See the attachment for further details.
   • Your file is attached. Use this password for the file: %sir de caractere%.
   • Please read the attached file. Password for the file is %sir de caractere%.
   • Please have a look at the attached file. Password for decrypting is %sir de caractere%.
   • See the attached file for details. Password is %sir de caractere%.
   • Here is the file. My password is %sir de caractere%.
   • Your document is attached. Your password is %sir de caractere%.


Atasament:
Numele fisierului atasat este unul din urmatoarele:
   • website_%sir de caractere%.pif; your_product_%sir de
      caractere%.pif; letter_%sir de caractere%.pif;
      archive%sir de caractere%.pif; your_text%sir de
      caractere%.pif; bill_%sir de caractere%.pif;
      your_details%sir de caractere%.pif; %sir de
      caractere%_details.pif; %sir de
      caractere%_document_word.pif; %sir de
      caractere%_document_excel.pif; %sir de
      caractere%_my_details.pif; %sir de
      caractere%_all_document.pif; %sir de
      caractere%_application.pif; mp3music_%sir de
      caractere%.pif; yours%sir de caractere%.pif;
      document_%sir de caractere%4351.pif; %sir de
      caractere%_picture.pif; %sir de caractere%_file.pif;
      %sir de caractere%_message_details.pif; yourpicture%sir de
      caractere%.pif; %sir de caractere%_document_full.pif;
      %sir de caractere%_your_message_part2.pif; %sir de
      caractere%information.pif; %sir de caractere%document.pif;
      %sir de caractere%_your_document.pif

Atasamentul este o copie malware.

 Email Cautare adrese:
Cauta adrese de email in urmatoarele fisiere:
   • .xml; .wsh; .jsp; .dhtm; .cgi; .shtm; .msg; .oft; .sht; .dbx; .tbb;
      .adb; .doc; .wab; .asp; .uin; .rtf; .vbs; .html; .htm; .pl; .php;
      .txt; .eml

 Alte informatii Sir de caractere:
In plus, mai contine urmatoarele siruri de caractere:
   • Please remove the file avpguard.exe from your Windows-Directory and do not open attachments anymore. It can be a virus like bagle and mydoom or similar malicios code. This is the Skynet-Antivirus!
   • SkyNet has the full control of your system now

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Petre Galan on Friday, March 5, 2010
Description updated by Petre Galan on Monday, March 8, 2010

Back . . . .