Description complète

Nom:	Worm/NetSky.#1
La date de la découverte:	05/04/2004
Type:	Ver
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Moyen
Potentiel de destruction:	Faible
Fichier statique:	Oui
Taille du fichier:	18.432 Octets
Somme de contrôle MD5:	ff05ddc00C74ef41157a2552af455e59
Version VDF:	6.24.00.87

Général Méthode de propagation:
   • Email

Les alias:
   • Symantec: W32.Netsky.T@mm
   • Mcafee: W32/Netsky.t@MM
   • Kaspersky: Email-Worm.Win32.NetSky.t
   • TrendMicro: WORM_NETSKY.T
   • F-Secure: W32/Netsky.T@mm
   • Sophos: W32/Netsky-T
   • Grisoft: I-Worm/Netsky.T
   • VirusBuster: iworm I-Worm.Netsky.U
   • Bitdefender: Win32.NetSky.T@mm

Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il emploie son propre moteur de courrier électronique
   • Il modifie des registres

Fichiers Il s'autocopie dans l'emplacement suivant:
• %WINDIR%\EasyAV.exe

Le fichier suivant est créé:

– Fichier codé MIME contenant sa propre copie:
• %WINDIR%\uinmzertinmds.opm

Registre La clé suivante est en permanence ajoutée aux registres, dans une boucle infinie, afin de lancer le processus après le redémarrage.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "EasyAV"="%WINDIR%\EasyAV.exe"

Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:

De:
L'adresse de l'expéditeur est falsifiée.

A:
– Les adresses email trouvés dans des fichiers spécifiques du système.

Sujet:
Le sujet de l'email est construit de ce que suit:

    Parfois il commence avec un des suivants:
   • Re:

    Continué par un des suivants:
   • Important
   • My details
   • Your information
   • Your details
   • Your document
   • Request
   • Thank you!
   • Approved
   • Hello
   • account
   • postcard
   • sample
   • developement
   • concept
   • story
   • report
   • icq number
   • e-mail
   • phone number
   • personal message
   • photo document
   • order
   • important document
   • diggest
   • final version
   • release
   • answer
   • bill
   • notice
   • requested document
   • description
   • summary
   • picture document
   • movie document
   • approved document
   • old document
   • document
   • mail
   • letter
   • homepage
   • detailed document
   • powerpoint document
   • excel document
   • word document
   • info
   • information
   • text
   • new document
   • textfile
   • user list
   • improved file
   • secound document
   • file
   • number list
   • contact list
   • message
   • note
   • improved document
   • details
   • instructions
   • presentation document
   • abuse list
   • archive
   • corrected document
   • list
   • approved file

Corps:
Le corps de l'email est un des suivants:

   • Hello!

   • Hi!

Parfois continué par un des suivantes:

   • Your file is attached to this mail.

   • Please read the attached document.

   • Please have a look at the attached document.

   • See the document for details.

   • Here is the document.

   • Note that I have attached your document.

   • I have spent much time for your document.

   • Please notice the attached document.

   • My %le substitut 1% is attached.

   • Your %le substitut 1% is attached

   • I have found the %le substitut 1%

   • Please notice the attached %le substitut 1%

   • I have spent much time for the %le substitut 1%

   • Please read quickly.

   • For more details see the attached document.

   • For more information see the attached document.

   • Approved, here is the document.

   • The requested %le substitut 1% is attached!

   • I have sent the %le substitut 1%.

   • Please see the %le substitut 1%.

   • The %le substitut 1% is attached.

   • Here is the %le substitut 1%.

   • Please have a look at the %le substitut 1%.

   • Please read the %le substitut 1%.

   • Please, %le substitut 1%.

   • My %le substitut 1%.

   • The %le substitut 1%.

   • Your %le substitut 1%.

Parfois continué par un des suivantes:

   • Yours sincerely


   • Thank you


   • Thanks

%le substitut 1% est étendu à un des suivants :
   • account; postcard; sample; developement; concept; story; report; icq
      number; e-mail; phone number; personal message; photo document; order;
      important document; diggest; final version; release; answer; bill;
      notice; requested document; description; summary; picture document;
      movie document; approved document; old document; document; mail;
      letter; homepage; detailed document; powerpoint document; excel
      document; word document; info; information; text; new document;
      textfile; user list; improved file; secound document; file; number
      list; contact list; message; note; improved document; details;
      instructions; presentation document; abuse list; archive; corrected
      document; list; approved file; report

Pièce jointe:
Le nom de fichier de l'attachement est un des suivants:
   • account%nombre%.pif; postcard%nombre%.pif;
      sample%nombre%.pif; developement%nombre%.pif;
      concept%nombre%.pif; story%nombre%.pif;
      report%nombre%.pif; icq_number%nombre%.pif;
      e-mail%nombre%.pif; phone number%nombre%.pif;
      personal_message%nombre%.pif;
      photo_document%nombre%.pif; order%nombre%.pif;
      important_document%nombre%.pif; diggest%nombre%.pif;
      final_version%nombre%.pif; release%nombre%.pif;
      answer%nombre%.pif; bill%nombre%.pif;
      notice%nombre%.pif; requested_document%nombre%.pif;
      description%nombre%.pif; summary%nombre%.pif;
      picture_document%nombre%.pif;
      movie_document%nombre%.pif;
      approved_document%nombre%.pif; old_document%nombre%.pif;
      document%nombre%.pif; mail%nombre%.pif;
      letter%nombre%.pif; homepage%nombre%.pif;
      detailed_document%nombre%.pif;
      powerpoint_document%nombre%.pif;
      excel_document%nombre%.pif; word_document%nombre%.pif;
      info%nombre%.pif; information%nombre%.pif;
      text%nombre%.pif; new_document%nombre%.pif;
      textfile%nombre%.pif; user_list%nombre%.pif;
      improved_file%nombre%.pif; secound_document%nombre%.pif;
      file%nombre%.pif; number_list%nombre%.pif;
      contact_list%nombre%.pif; message%nombre%.pif;
      note%nombre%.pif; improved_document%nombre%.pif;
      details%nombre%.pif; instructions%nombre%.pif;
      presentation_document%nombre%.pif;
      abuse_list.%nombre%.pif; archive%nombre%.pif;
      corrected_document%nombre%.pif; list%nombre%.pif;
      approved_file%nombre%.pif

L'attachement est une copie du malware lui-même.

Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • ppt; nch; mmf; mht; xml; wsh; jsp; xls; stm; ods; msg; oft; sht; html;
      htm; pl; dbx; tbb; adb; dhtm; cgi; shtm; uin; rtf; vbs; doc; wab; asp;
      mdx; mbx; cfg; php; txt; eml

Porte dérobée Le port suivant est ouvert:

– %le fichier exécuté% sur le port TCP 6789

DoS Actif 14/04/2004 jusqu'à 17/04/2004 Il opère un attaque DoS vers les destinations suivantes:
   • www.keygen.us
   • www.freemule.net
   • www.kazaa.com
   • www.emule.de
   • www.cracks.am

Informations divers Mutex:
Il crée les Mutex suivants:
   • SyncMutex_USUkUyUnUeUtU
   • Protect_USUkUyUnUeUtU_Mutex

Chaîne de caractères:
Ensuite il contient la chaîne de caractères suivante:
   • Now we have programmed our backdoor, it cannot be used for spam relaying, only for Skynet distribution, our advice: educate the users or update the smtp protocol, and heuristics cannot detect Skynet, becauses numerous scambler, compressors, and protectors exists including programming new features. Thanks to russia, and thanks to CCC for support. 09:34 A.M, Russia

Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.

Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• UPX

Description insérée par Ionut Slaveanu le jeudi 4 mai 2006
Description mise à jour par Cosmin Ancuta le vendredi 5 mai 2006

Retour . . . .

Protection avancée pour votre PC

Produits gratuits

Les plus populaires

Tous les produits

Offres groupées

Stations de travail

Server

Offres groupées

Mail Gateways

Web Gateways

Plateformes collaboratives

Particuliers

Entreprises

Virus Lab

Support avancé

Programme Avira Partner

Particuliers

Entreprises

Une simple évaluation vous suffit ?

Manuels et outils