Nom:Worm/Netsky.S.1
La date de la découverte:31/03/2004
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:20.624 Octets
Somme de contrôle MD5:5bbb322a70a6a248369f45ece8d9e79b
Version IVDF:6.24.00.78 - mercredi 31 mars 2004

 Général Méthode de propagation:
   • Email


Les alias:
   •  Mcafee: W32/Netsky.r
   •  Sophos: W32/Netsky-R
   •  Panda: W32/Netsky.R.worm
   •  Eset: Win32/Netsky.P
   •  Bitdefender: Win32.Netsky.R@mm


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers malveillants
   • Il emploie son propre moteur de courrier électronique
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\pandaavengine.exe



Les fichiers suivants sont créés:

%WINDIR%\uinmzertinmds.opm Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: Worm/Netsky.R

%WINDIR%\temp09094283.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: Worm/Netsky.S.2

 Registre On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "PandaAVEngine"="%WINDIR%\PandaAVEngine.exe"

 Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:
Il utilise MAPI (Messaging Application Programming Interface) afin d'envoyer des messages. Les caractéristiques sont décrites ci-dessous:


A:
– Les adresses email trouvés dans des fichiers spécifiques du système.
– les adresses d'email recueillies du WAB (Windows Address Book)
Le sujet de l'email est construit de ce que suit:

    Il commence avec un des suivants:
   • Re:

    Continué par un des suivants:
   • Document

   • %nombre%


Corps:
– Il contient du code HTML
Le corps de l'email est un des suivants:

   • Your document is attached.


Continué par ce qui suit:

   • No virus found
     Powered by the new Norton OnlineScan
     Get protected:


Pièce jointe:

–  Il commence avec un des suivants:
   • Document

Continué par un des suivants:
   • %nombre%

    Continué par une des extensions fausses suivantes :
   • .pif

L'attachement est une copie du malware lui-même.

 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • .xml; .wsh; .jsp; .msg; .oft; .sht; .dbx; .tbb; .adb; .dhtm; .cgi;
      .shtm; .uin; .rtf; .vbs; .doc; .wab; .asp; .php; .txt; .eml; .html;
      .htm; .pl

 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Petre Galan le vendredi 5 mars 2010
Description mise à jour par Petre Galan le vendredi 5 mars 2010

Retour . . . .