Nome del virus:Worm/NetSky.AA
Scoperto:22/05/2005
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio
Potenziale di propagazione:Medio
Potenziale di danni:Basso
File statico:Si
Dimensione del file:27.136 Byte
Somma di controllo MD5:c43fa1b082302f3b8e01d77fb95c78c6
Versione VDF:6.25.00.34

 Generale Metodo di propagazione:
   • Email


Alias:
   •  Symantec: W32.Netsky.Z@mm
   •  Mcafee: W32/Netsky
   •  Kaspersky: Email-Worm.Win32.NetSky.aa
   •  TrendMicro: WORM_NETSKY.Z
   •  F-Secure: W32/Netsky.AK@mm
   •  Grisoft: I-Worm/Netsky.Z
   •  VirusBuster: I-Worm.NetSky.Z1
   •  Bitdefender: Win32.Netsky.AA@mm


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Utilizza un proprio motore SMTP per l'invio di email
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %WINDIR%\Jammer2nd.exe



Vengono creati i seguenti file:

– Crea il seguente archivio contenente una copia del malware:
   • %WINDIR%\pk_zip_alg.log

– Copie di se stesso con codifica MIME:
   • %WINDIR%\pk_zip1.log
   • %WINDIR%\pk_zip2.log
   • %WINDIR%\pk_zip3.log
   • %WINDIR%\pk_zip4.log
   • %WINDIR%\pk_zip5.log
   • %WINDIR%\pk_zip6.log
   • %WINDIR%\pk_zip7.log
   • %WINDIR%\pk_zip8.log

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Jammer2nd"="%WINDIR%\Jammer2nd.exe"

 Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:


Da:
L'indirizzo del mittente è falso.
Indirizzi generati. Non si presupponga che fosse intenzione del mittente inviare questa email. Potrebbe non essere a conoscenza della propria ”infezione” o addirittura potrebbe non essere “infetto”. In più si potrebbero ricevere email bounce che diranno che si è “infetti”. Questo potrebbe comunque non essere il caso.


A:
– Indirizzi email trovati in specifici file sul sistema.
– Indirizzi email raccolti da WAB (Windows Address Book)
Il destinatario dell'email è il seguente:
   • jamainlbbbsdef@yahoo.com


Oggetto:
Uno dei seguenti:
   • Document
   • Hello
   • Hi
   • Important
   • Information



Corpo dell'email:
Il corpo dell’email è come uno dei seguenti:
   • Important bill!
   • Important data!
   • Important details!
   • Important document!
   • Important informations!
   • Important notice!
   • Important textfile!
   • Important!


File allegato:
Il nome del file allegato è uno dei seguenti:
   • Bill.zip
   • Data.zip
   • Details.zip
   • Important.zip
   • Informations.zip
   • Notice.zip
   • Part-2.zip
   • Textfile.zip

 Invio di messaggi Cerca indirizzi:
Cerca i seguenti file per gli indirizzi email:
   • .ppt; .xml; .wsh; .jsp; .msg; .oft; .sht; .nch; .mmf; .mht; .dbx;
      .tbb; .adb; .xls; .stm; .ods; .dhtm; .cgi; .shtm; .uin; .rtf; .vbs;
      .php; .txt; .eml; .doc; .wab; .asp; .html; .htm; .pl; .mdx; .mbx; .cfg


Risoluzione dei nomi (DNS):
Se la richiesta tramite il DNS standard fallisce, continua con la seguente:
Ha la capacità di contattare i seguenti server DNS:
   • 212.44.160.8; 195.185.185.195; 151.189.13.35; 213.191.74.19;
      193.189.244.205; 145.253.2.171; 193.141.40.42; 194.25.2.134;
      194.25.2.133; 194.25.2.132; 194.25.2.131; 193.193.158.10;
      212.7.128.165; 212.7.128.162; 193.193.144.12; 217.5.97.137;
      195.20.224.234; 194.25.2.130; 194.25.2.129; 212.185.252.136;
      212.185.253.70; 212.185.252.73

 Backdoor Viene aperta la seguente porta:

%file eseguiti% sulla porta TCP 665 con lo scopo di procurarsi delle possibili backdoor.

 DoS  Su 02/05/2004 Effettua degli attacchi DoS contro le seguenti destinazioni:
   • www.nibis.de
   • www.medinfo.ufl.edu
   • www.educa.ch

 Varie Mutex:
Crea il seguente Mutex:
   • (S)(k)(y)(N)(e)(t)


Stringa:
In più contiene la seguente stringa:
   • :::::::::::They never learn it!:::::::::::

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • ASPack 2.11c

Descrizione inserita da Razvan Olteanu su lunedì 29 agosto 2005
Descrizione aggiornata da Andrei Ivanes su martedì 14 marzo 2006

Indietro . . . .