Nom:Worm/NetSky.AA
La date de la découverte:22/05/2005
Type:Ver
En circulation:Oui
Infections signalées Moyen
Potentiel de distribution:Moyen
Potentiel de destruction:Faible
Fichier statique:Oui
Taille du fichier:27.136 Octets
Somme de contrôle MD5:c43fa1b082302f3b8e01d77fb95c78c6
Version VDF:6.25.00.34

 Général Méthode de propagation:
   • Email


Les alias:
   •  Symantec: W32.Netsky.Z@mm
   •  Mcafee: W32/Netsky
   •  Kaspersky: Email-Worm.Win32.NetSky.aa
   •  TrendMicro: WORM_NETSKY.Z
   •  F-Secure: W32/Netsky.AK@mm
   •  Grisoft: I-Worm/Netsky.Z
   •  VirusBuster: I-Worm.NetSky.Z1
   •  Bitdefender: Win32.Netsky.AA@mm


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il emploie son propre moteur de courrier électronique
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\Jammer2nd.exe



Les fichiers suivants sont créés:

– Il crée le fichier compressé suivant contenant une copie du malware:
   • %WINDIR%\pk_zip_alg.log

– Fichiers codés MIME contenant ses propres copies:
   • %WINDIR%\pk_zip1.log
   • %WINDIR%\pk_zip2.log
   • %WINDIR%\pk_zip3.log
   • %WINDIR%\pk_zip4.log
   • %WINDIR%\pk_zip5.log
   • %WINDIR%\pk_zip6.log
   • %WINDIR%\pk_zip7.log
   • %WINDIR%\pk_zip8.log

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Jammer2nd"="%WINDIR%\Jammer2nd.exe"

 Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:


De:
L'adresse de l'expéditeur est falsifiée.
Adresses générées. Ne pas supposer pas que c'était l'intention de l'expéditeur de vous envoyer cet email. Il est possible qu'il ne sache pas qu'il est infecté ou il est possible qu'il ne soit pas du tout infecté. En outre, il est possible que vous receviez des emails en retour vous signifiant que vous êtes infecté. Ceci pourrait également ne pas être le cas.


A:
– Les adresses email trouvés dans des fichiers spécifiques du système.
– les adresses d'email recueillies du WAB (Windows Address Book)
Le destinataire de l'email est le suivant:
   • jamainlbbbsdef@yahoo.com


Sujet:
Un des suivants:
   • Document
   • Hello
   • Hi
   • Important
   • Information



Corps:
Le corps de l'email est une des lignes:
   • Important bill!
   • Important data!
   • Important details!
   • Important document!
   • Important informations!
   • Important notice!
   • Important textfile!
   • Important!


Pièce jointe:
Le nom de fichier de l'attachement est un des suivants:
   • Bill.zip
   • Data.zip
   • Details.zip
   • Important.zip
   • Informations.zip
   • Notice.zip
   • Part-2.zip
   • Textfile.zip

 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • .ppt; .xml; .wsh; .jsp; .msg; .oft; .sht; .nch; .mmf; .mht; .dbx;
      .tbb; .adb; .xls; .stm; .ods; .dhtm; .cgi; .shtm; .uin; .rtf; .vbs;
      .php; .txt; .eml; .doc; .wab; .asp; .html; .htm; .pl; .mdx; .mbx; .cfg


Résoudre les noms des serveurs:
Si la requête employant le DNS standard échoue, il continue avec le suivant:
Il a la capacité d'entrer en contact avec les serveurs DNS suivants:
   • 212.44.160.8; 195.185.185.195; 151.189.13.35; 213.191.74.19;
      193.189.244.205; 145.253.2.171; 193.141.40.42; 194.25.2.134;
      194.25.2.133; 194.25.2.132; 194.25.2.131; 193.193.158.10;
      212.7.128.165; 212.7.128.162; 193.193.144.12; 217.5.97.137;
      195.20.224.234; 194.25.2.130; 194.25.2.129; 212.185.252.136;
      212.185.253.70; 212.185.252.73

 Porte dérobée Le port suivant est ouvert:

%le fichier exécuté% sur le port TCP 665 afin de fournir de capacités de porte dérobée

 DoS  Actif 02/05/2004 Il opère un attaque DoS vers les destinations suivantes:
   • www.nibis.de
   • www.medinfo.ufl.edu
   • www.educa.ch

 Informations divers Mutex:
Il crée le Mutex suivant:
   • (S)(k)(y)(N)(e)(t)


Chaîne de caractères:
Ensuite il contient la chaîne de caractères suivante:
   • :::::::::::They never learn it!:::::::::::

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • ASPack 2.11c

Description insérée par Razvan Olteanu le lundi 29 août 2005
Description mise à jour par Andrei Ivanes le mardi 14 mars 2006

Retour . . . .