Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Netsky.AB
La date de la dcouverte:13/12/2012
Type:Ver
En circulation:Non
Infections signales Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Faible
Fichier statique:Oui
Taille du fichier:17.920 Octets
Somme de contrle MD5:06E4CFD33F5ED9AF43FE012C759BDA60
Version VDF:7.11.53.216

 Gnral Mthode de propagation:
   • Email


Les alias:
   •  Symantec: W32/Netsky-AB
   •  Mcafee: W32/Netsky.ab@MM
   •  Kaspersky: I-Worm.Netsky.ac
   •  TrendMicro: WORM_NETSKY.AB
   •  Sophos: W32/Netsky-AB
   •  Grisoft: I-Worm/Netsky.AB
   •  VirusBuster: I-Worm.NetSky.AB
   •  Eset: Win32/Netsky.AB
   •  Bitdefender: Win32.Netsky.AC@mm


Plateformes / Systmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il emploie son propre moteur de courrier lectronique
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\csrss.exe

 Registre La cl de registre suivante est ajoute afin de lancer le processus aprs le redmarrage:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "BagleAV"="%WINDIR%\csrss.exe"



Les valeurs des cls de registre suivantes sont supprimes:

–  HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "drvsys.exe"="%WINDIR%\drvsys.exe"

–  HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "ssgrate.exe"="%WINDIR%\ssgrate.exe"

 Email Il contient un moteur SMTP intgr pour envoyer des emails. Une connexion directe avec le serveur destination sera tablie. Les caractristiques sont dcrites ci-dessous:
AM (GMT)


De:
L'adresse de l'expditeur est falsifie.
L'expditeur de cet e-mail est ce qui suit:
   • xdfggra@yahoo.com


A:
– Les adresses email trouvs dans des fichiers spcifiques du systme.


Le format des emails:



Sujet: More samples
Le corps:
   • Do you have more samples?
L'attachement:
   • your_picture.pif



Sujet: Wow
Le corps:
   • Why do you show your body?
L'attachement:
   • image034.pif



Sujet: Text
Le corps:
   • The text you sent to me is not so good!
L'attachement:
   • your_text01.pif



Sujet: Question
Le corps:
   • Does it hurt you?
L'attachement:
   • your_picture.pif



Sujet: Pictures
Le corps:
   • Your pictures are good!
L'attachement:
   • your_picture01.pif



Sujet: Money
Le corps:
   • Do you have no money?
L'attachement:
   • your_bill.pif



Sujet: Hurts
Le corps:
   • How can I help you?
L'attachement:
   • hurts.pif



Sujet: Numbers
Le corps:
   • Are your numbers correct?
L'attachement:
   • pin_tel.pif



Sujet: Letter
Le corps:
   • Do you have written the letter?
L'attachement:
   • your_letter_03.pif



Sujet: Letter
Le corps:
   • True love letter?
L'attachement:
   • your_letter.pif



Sujet: Only love?
Le corps:
   • Wow! Why are you so shy?
L'attachement:
   • loveletter02.pif



Sujet: Correction
Le corps:
   • Please use the font arial!
L'attachement:
   • corrected_doc.pif



Sujet: Picture
Le corps:
   • Do you have more photos about you?
L'attachement:
   • all_pictures.pif



Sujet: Funny
Le corps:
   • You have no chance...
L'attachement:
   • your_text.pif



Sujet: Privacy
Le corps:
   • Still?
L'attachement:
   • document1.pif



Sujet: Password
Le corps:
   • I've your password. Take it easy!
L'attachement:
   • passwords02.pif



Sujet: Criminal
Le corps:
   • Hey, are you criminal?
L'attachement:
   • myabuselist.pif



Sujet: Stolen
Le corps:
   • Do you have asked me?
L'attachement:
   • my_stolen_document.pif



Sujet: Illegal
Le corps:
   • Please do not send me your illegal stuff again!!!
L'attachement:
   • abuses.pif



Sujet: Found
Le corps:
   • I've found your creditcard. Check the data!
L'attachement:
   • visa_data.pif



L'email pourrait ressembler un des suivants:



 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • ADB; ASP; CFG; CGI; DBX; DHTM; DOC; EML; HTM; HTML; JSP; MBX; MDX;
      MHT; MMF; MSG; NCH; ODS; OFT; PHP; PL; PPT; RTF; SHT; SHTM; STM; TBB;
      TXT; UIN; VBS; WAB; WSH; XLS; XML


viter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chanes de caractres suivantes:
   • iruslis; antivir; sophos; freeav; andasoftwa; skynet; messagelabs;
      abuse; fbi; orton; f-pro; aspersky; cafee; orman; itdefender; f-secur;
      avp; spam; ymantec; antivi; icrosoft


Rsoudre les noms des serveurs:
Si la requte employant le DNS standard choue, il continue avec le suivant:
Il a la capacit d'entrer en contact avec les serveurs DNS suivants:
   • 212.7.128.162; 212.7.128.165; 193.193.158.10; 194.25.2.131;
      194.25.2.132; 194.25.2.133; 194.25.2.134; 62.155.255.16;
      212.185.252.73; 212.185.253.70; 212.185.252.136; 194.25.2.129;
      194.25.2.130; 195.20.224.234; 217.5.97.137; 194.25.2.129;
      193.193.144.12; 193.141.40.42; 145.253.2.171; 193.189.244.205;
      213.191.74.19; 151.189.13.35; 195.185.185.195; 212.44.160.8

 Informations divers Mutex:
Il cre le Mutex suivant:
   • S-k-y-n-e-t--A-n-t-i-v-i-r-u-s-T-e-a-m


Chane de caractres:
Ensuite il contient la chane de caractres suivante:
   • Hey Bagle, feel our revenge!

 Dtails de fichier Langage de programmation:
Le fichier a t crit en MS Visual C++.


Logiciel de compression des fichiers excutables:
Afin d'entraver la dtection et de rduire la taille du fichier il est compress avec un logiciel de compression des excutables.


La date de la compilation:
La date: 22/04/2003
L'heure: 22:44:02

Description insérée par Dragos Tomescu le mercredi 27 juillet 2005
Description mise à jour par Dragos Tomescu le mercredi 23 novembre 2005

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.