Nom:Worm/NetSky.X.12
La date de la découverte:09/01/2007
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:29.184 Octets
Somme de contrôle MD5:47ce2ebadf10b72efe09623e05499778
Version VDF:6.36.01.018
Version IVDF:6.36.01.018

 Général Méthode de propagation:
   • Email


Les alias:
   •  Mcafee: W32/Netsky@MM
   •  Kaspersky: Email-Worm.Win32.NetSky.x
   •  Grisoft: I-Worm/Netsky.EC
   •  Eset: Win32/Netsky.N
   •  Bitdefender: Win32.Netsky.W@mm


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers malveillants
   • Il emploie son propre moteur de courrier électronique
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\DiskMonitor.exe



Les fichiers suivants sont créés:

– Fichiers codés MIME contenant ses propres copies:
   • %WINDIR%\constant
   • %WINDIR%\your_details.doc
   • %WINDIR%\666!.hel
   • %WINDIR%\document.htm
   • %WINDIR%\voltaput
   • %WINDIR%\doc.txt
   • %WINDIR%\mulala!!
   • %WINDIR%\doc.pif
   • %WINDIR%\vaca.vac
   • %WINDIR%\your_details.scr
   • %WINDIR%\puta.vac
   • %WINDIR%\document.exe
   • %WINDIR%\baseadofum
   • %WINDIR%\paula!.ama

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "AleVi"="%WINDIR%\DiskMonitor.exe"



Les valeurs des clés de registre suivantes sont supprimées:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Explorer
   • system
   • msgsvr32
   • service
   • DELETE ME
   • Sentry
   • Taskmon
   • Windows Services Host

–  [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Explorer
   • au.exe
   • d3dupdate.exe
   • OLE
   • gouday.exe
   • rate.exe
   • Taskmon
   • Windows Services Host
   • sysmon.exe
   • srate.exe
   • ssate.exe

–  [HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}]
   • InProcServer32

 Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:


De:
L'adresse de l'expéditeur est falsifiée.


A:
– Les adresses email trouvés dans des fichiers spécifiques du système.


Sujet:
Dans certains cas, le sujet pourrait également être vide.
En outre le sujet peut contenir des lettres aléatoires.
Le sujet de l'email est construit de ce que suit:

    Parfois il commence avec un des suivants:
   • RE:

    Parfois continué par un des suivants:
   • RE:

   • Nossas contas leia!
   • Aprovado!
   • Delicia!
   • Contas!
   • Obrigado!
   • Passou!!
   • Valeu!!
   • Grana
   • Pena
   • sol
   • BRAS


Corps:
– Il contient du code HTML

 
Le corps de l'email est un des suivants:

   • @Lamento sabe!

   • Olha a festa!!

   • Nao sei o que eh isso me diga! Tabela de precos de Natal veja!!!!.

   • Conta regularizada veja aqui!!

   • Veja os arquivos que te mandei aqui!!!.

   • Proposta de emprego veja

   • O que isso heim

   • Conta Fechada

   • Quero sua opiniao leia tudo ta bjs!

   • Tenho pressa ve e me liga!!!

   • Olha nossas fotos (RS)

   • Leia rapido o arquivo!!!!

   • Nossas contas veja detalhe

   • Por-favor entre em contato!!!.

   • Grande Oportunidade veja os detalhes !!!.


Continué par ce qui suit:

   • --------------------------------------------
     %le nom de la pièce jointe%:Nao Tem Virus!
     Norton AntiVirus Procura
     Progressiva
     FiqueProtegido www.symantec.com


Pièce jointe:
Le nom de fichier de l'attachement est construit de ce qui suit:

–  Il commence avec un des suivants:
   • Bala
   • Cambau
   • Fotos!!
   • Me Liga ta???
   • Me liga vai
   • Mentira
   • Nossa Conta
   • Olha isso!!
   • Paes
   • Saia de Ferias
   • Sandra!!
   • Sua Conta!!!
   • Te Amo!
   • Vaga
   • Vida

Parfois continué par un des suivants:
   • _%le nom d'utilisateur de l'adresse email du destinataire%

    L'extension du fichier est une des suivantes:
   • .zip
   • .pif
   • .exe
   • .scr



Voici quelques exemples de la manière dont le nom du fichier de la pièce jointe pourrait ressembler:
   • Bala__%le nom d'utilisateur de l'adresse email du destinataire%.exe
   • Sandra!!.pif

L'attachement est une copie du malware lui-même.



L'email pourrait ressembler à un des suivants:



 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • .xml; .wsh; .jsp; .msg; .oft; .sht; .dbx; .tbb; .adb; .dhtm; .cgi;
      .shtm; .uin; .rtf; .vbs; .doc; .wab; .asp; .php; .txt; .eml; .html;
      .htm; .pl


Ajoutez les chaînes de caractères au début de MX :
Afin d'obtenir l'adresse IP du serveur d'email, il a la capacité d'ajouter au début du nom de domaine les chaînes de caractères suivantes:
   • mail.
   • mx.
   • mx2.

 Informations divers Mutex:
Il crée le Mutex suivant:
   • VxBrasil_Causando!


Chaîne de caractères:
Ensuite il contient la chaîne de caractères suivante:
   • Se voce esta lendo isso veja bem quero dizer que consigo codar um Worm sozinho so que nao estou afim entao ve se para de criticar algo que alguem fez e faca algo ta bom. Eh sim eh uma versao do NetSky Disassemblada e modificada Falou. Queria fazer um protesto aqui com essa merda de WORM que ja deu o que tinha que dar. Aonde nosso BRASIL vai parar? Queria um emprego descente so que so me derao migalhas? Ate quando teremos que tolerar essas pessoas que dizem fazer pela gente e fazem o mesmo que todo mundo mentem e roubao? Queria mais que um emprego descente queria ter Orgulho de ser BRASILEIRO!!!VXBRASIL NOS NAO ESTAMOS MORTOS SE PREPAREM PARA UMA NOVA ERA DOS VIRUS DE COMPUTADOR.11/11/2006 SAMPA!

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • PE Pack

Description insérée par Monica Ghitun le mardi 9 janvier 2007
Description mise à jour par Monica Ghitun le mardi 9 janvier 2007

Retour . . . .