Nom:Worm/Netsky.T
La date de la découverte:05/04/2004
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:18.432 Octets
Somme de contrôle MD5:5e12dace2155beca61c050ad2deb519a
Version IVDF:6.24.00.86 - lundi 5 avril 2004

 Général Méthode de propagation:
   • Email


Les alias:
   •  Mcafee: W32/Netsky.s
   •  Sophos: W32/Netsky-S
   •  Panda: W32/Netsky.S.worm
   •  Eset: Win32/Netsky.S
   •  Bitdefender: Win32.Netsky.S@mm


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers malveillants
   • Il emploie son propre moteur de courrier électronique
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\EasyAV.exe



Le fichier suivant est créé:

%WINDIR%\uinmzertinmds.opm Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: Worm/Netsky.T

 Registre On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "EasyAV"="%WINDIR%\EasyAV.exe"

 Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:
Il utilise MAPI (Messaging Application Programming Interface) afin d'envoyer des messages. Les caractéristiques sont décrites ci-dessous:


De:
L'adresse de l'expéditeur est falsifiée.
L'adresse de l'expéditeur est le compte Outlook de l'utilisateur.


A:
– Les adresses email trouvés dans des fichiers spécifiques du système.
– les adresses d'email recueillies du WAB (Windows Address Book)


Sujet:
Un des suivants:
   • Hello!; Hi!; Re: Important; Important; Re: My details; My details; Re:
      Your information; Your information; Re: Your details; Your details;
      Re: Your document; Your document; Re: Request; Request; Re: Thanks
      you!; Thank you!; Re: Approved; Approved; Re: Hello; Re: Hi; Hello; Hi


    Parfois il commence avec un des suivants:

Corps:
– Il contient du code HTML
Le corps de l'email est un des suivants:

   • Hello!
     Hi!

   • Note that I have attached your document.
     My %le nom de la pièce jointe%.
     The %le nom de la pièce jointe%.
     I have spent much time for the %le nom de la pièce jointe%.
     I have spent much time for your document.
     Your %le nom de la pièce jointe%.
     Please notice the attached %le nom de la pièce jointe%.
     Please notice the attached document.
     Please read quickly.
     For more details see the attached document.
     For more information see the attached document.
     Approved, here is the document.
     I have found the %le nom de la pièce jointe%.
     My %le nom de la pièce jointe% is attached.
     Your %le nom de la pièce jointe% is attached.
     Please, %le nom de la pièce jointe%.
     Your file is attached to this mail.
     Please read the attached document.
     Please have a look at the attached document.
     See the document for details.
     Here is the document.
     The requested %le nom de la pièce jointe% is attached!
     I have sent the %le nom de la pièce jointe%.
     Please see the %le nom de la pièce jointe%.
     The %le nom de la pièce jointe% is attached.
     Here is the %le nom de la pièce jointe%.
     Please have a look at the %le nom de la pièce jointe%.
     Please read the %le nom de la pièce jointe%.


Parfois continué par ce qui suit:

   • Yours sincerely
     Thank you
     Thanks


Continué par un des suivants:

   • +++ X-Attachment-Type: document
     +++ X-Attachment-Status: no virus found
     +++ Powered by the new Panda OnlineAntiVirus
     +++ Website: www.pandasoftware.com
     +++ X-Attachment-Type: document
     +++ X-Attachment-Status: no virus found
     +++ Powered by the new MCAfee OnlineAntiVirus
     +++ Homepage: www.mcafee.com
     +++ X-Attachment-Type: document
     +++ X-Attachment-Status: no virus found
     +++ Powered by the new F-Secure OnlineAntiVirus
     +++ Visit us: www.f-secure.com
     +++ X-Attachment-Type: document
     +++ X-Attachment-Status: no virus found
     +++ Powered by the new Norton OnlineAntiVirus
     +++ Free trial: www.norton.com


Pièce jointe:
Les noms de fichier des attachements sont construits de ce qui suit:

–  Il commence avec un des suivants:
   • abuse_list
   • approved_document
   • archive
   • bill
   • developement
   • diggest
   • excel_document
   • file
   • homepage
   • icq_number
   • information
   • message
   • movie_document
   • notice
   • number_list
   • postcard
   • report
   • story
   • summary
   • word_document

Continué par un des suivants:
   • %nombre%

    Continué par une des extensions fausses suivantes :
   • .pif



Voici quelques exemples de la manière dont le nom du fichier de la pièce jointe pourrait ressembler:
   • abuse_list4.pif
   • approved_document7.pif
   • bill1.pif
   • developement7.pif
   • file6.pif

L'attachement est une copie du malware lui-même.

 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • .xml; .wsh; .jsp; .msg; .oft; .sht; .dbx; .tbb; .adb; .dhtm; .cgi;
      .shtm; .uin; .rtf; .vbs; .doc; .wab; .asp; .php; .txt; .eml; .html;
      .htm; .pl

 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Petre Galan le vendredi 5 mars 2010
Description mise à jour par Petre Galan le lundi 8 mars 2010

Retour . . . .