Nom:Worm/NetSky.Z
La date de la découverte:21/04/2004
Type:Ver
En circulation:Oui
Infections signalées Moyen
Potentiel de distribution:Moyen
Potentiel de destruction:Faible
Fichier statique:Oui
Taille du fichier:22.016 Octets
Somme de contrôle MD5:2f4f05bb09b396579225615ab4121256
Version VDF:6.25.00.60

 Général Méthode de propagation:
   • Email


L'alias:
   •  Symantec: W32.Netsky.Z@mm
   •  Mcafee: W32/Netsky.z@MM
   •  Kaspersky: Email-Worm.Win32.NetSky.aa
   •  TrendMicro: WORM_NETSKY.Z
   •  F-Secure: W32/Netsky.Z@mm
   •  Grisoft: I-Worm/Netsky.Z
   •  VirusBuster: I-Worm.Netsky.Z
   •  Bitdefender: Win32.Netsky.AA@mm


La plateforme / le système d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il emploie son propre moteur de courrier électronique
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\Jammer2nd.exe



Il se copie dans des fichiers compressés à l'emplacement suivant :
   • %WINDIR%\pk_zip_alg.log



Les fichiers suivants sont créés:

– Fichiers codés MIME contenant ses propres copies:
   • %WINDIR%\pk_zip1.log
   • %WINDIR%\pk_zip2.log
   • %WINDIR%\pk_zip3.log
   • %WINDIR%\pk_zip4.log
   • %WINDIR%\pk_zip5.log
   • %WINDIR%\pk_zip6.log
   • %WINDIR%\pk_zip7.log
   • %WINDIR%\pk_zip8.log

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\software\microsoft\windows\currentversion\run]
   • "Jammer2nd"="%WINDIR%\Jammer2nd.exe"

 Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:


De:
L'adresse de l'expéditeur est falsifiée.


A:
– Les adresses email trouvés dans des fichiers spécifiques du système.
– les adresses d'email recueillies du WAB (Windows Address Book)
– L'adresse email suivante:
   • jamainlbbbsdef@yahoo.com


Sujet:
Un des suivants:
   • Document
   • Hello
   • Hi
   • Important
   • Information



Corps:
Le corps de l'email est une des lignes:
   • Important informations!
   • Important textfile!
   • Important!
   • Important data!
   • Important bill!
   • Important document!
   • Important notice!
   • Important details!
   • Information


Pièce jointe:
Le nom de fichier de l'attachement est un des suivants:
   • Informations.zip
   • Textfile.zip
   • Part-2.zip
   • Data.zip
   • Bill.zip
   • Important.zip
   • Notice.zip
   • Details.zip

 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • .ppt; .xml; .wsh; .jsp; .msg; .oft; .sht; .nch; .mmf; .mht; .dbx;
      .tbb; .adb; .xls; .stm; .ods; .dhtm; .cgi; .shtm; .uin; .rtf; .vbs;
      .php; .txt; .eml; .doc; .wab; .asp; .html; .htm; .pl; .mdx; .cfg


Résoudre les noms des serveurs:
Si la requête employant le DNS standard échoue, il continue avec le suivant:
Il a la capacité d'entrer en contact avec les serveurs DNS suivants:
   • 212.44.160.8; 195.185.185.195; 151.189.13.35; 213.191.74.19;
      193.189.244.205; 145.253.2.171; 193.141.40.42; 194.25.2.134;
      194.25.2.133; 194.25.2.132; 194.25.2.131; 193.193.158.10;
      212.7.128.165; 212.7.128.162; 193.193.144.12; 217.5.97.137;
      195.20.224.234; 194.25.2.130; 194.25.2.129; 212.185.252.136;
      212.185.253.70; 212.185.252.73

 Porte dérobée Le port suivant est ouvert:

%le fichier exécuté% sur un port TCP aléatoire 665 afin de fournir de capacités de porte dérobée

 DoS  Actif 02/05/2004 jusqu'à 05/05/2004 Il opère un attaque DoS vers les destinations suivantes:
   • www.nibis.de
   • www.medinfo.ufl.edu
   • www.educa.ch

 Informations divers Mutex:
Il crée le Mutex suivant:
   • (S)(k)(y)(N)(e)(t)


Chaîne de caractères:
Ensuite il contient la chaîne de caractères suivante:
   • :::::::::::They never learn it!:::::::::::

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • AS Pack 1.0

Description insérée par Victor Tone le jeudi 1 septembre 2005
Description mise à jour par Victor Tone le vendredi 2 septembre 2005

Retour . . . .