Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:Worm/Netsky.AB
Scoperto:13/12/2012
Tipo:Worm
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Basso
File statico:Si
Dimensione del file:17.920 Byte
Somma di controllo MD5:06E4CFD33F5ED9AF43FE012C759BDA60
Versione VDF:7.11.53.216

 Generale Metodo di propagazione:
   • Email


Alias:
   •  Symantec: W32/Netsky-AB
   •  Mcafee: W32/Netsky.ab@MM
   •  Kaspersky: I-Worm.Netsky.ac
   •  TrendMicro: WORM_NETSKY.AB
   •  Sophos: W32/Netsky-AB
   •  Grisoft: I-Worm/Netsky.AB
   •  VirusBuster: I-Worm.NetSky.AB
   •  Eset: Win32/Netsky.AB
   •  Bitdefender: Win32.Netsky.AC@mm


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Utilizza un proprio motore SMTP per l'invio di email
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %WINDIR%\csrss.exe

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "BagleAV"="%WINDIR%\csrss.exe"



I valori delle seguenti chiavi di registro vengono rimossi:

–  HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "drvsys.exe"="%WINDIR%\drvsys.exe"

–  HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "ssgrate.exe"="%WINDIR%\ssgrate.exe"

 Email Contiene un motore SMTP integrato per inviare le email. Verr stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:
anti meridiane (GMT)


Da:
L'indirizzo del mittente falso.
Il mittente della mail il seguente:
   • xdfggra@yahoo.com


A:
– Indirizzi email trovati in specifici file sul sistema.


Design delle email:



Oggetto: More samples
Corpo della mail:
   • Do you have more samples?
Allegato:
   • your_picture.pif



Oggetto: Wow
Corpo della mail:
   • Why do you show your body?
Allegato:
   • image034.pif



Oggetto: Text
Corpo della mail:
   • The text you sent to me is not so good!
Allegato:
   • your_text01.pif



Oggetto: Question
Corpo della mail:
   • Does it hurt you?
Allegato:
   • your_picture.pif



Oggetto: Pictures
Corpo della mail:
   • Your pictures are good!
Allegato:
   • your_picture01.pif



Oggetto: Money
Corpo della mail:
   • Do you have no money?
Allegato:
   • your_bill.pif



Oggetto: Hurts
Corpo della mail:
   • How can I help you?
Allegato:
   • hurts.pif



Oggetto: Numbers
Corpo della mail:
   • Are your numbers correct?
Allegato:
   • pin_tel.pif



Oggetto: Letter
Corpo della mail:
   • Do you have written the letter?
Allegato:
   • your_letter_03.pif



Oggetto: Letter
Corpo della mail:
   • True love letter?
Allegato:
   • your_letter.pif



Oggetto: Only love?
Corpo della mail:
   • Wow! Why are you so shy?
Allegato:
   • loveletter02.pif



Oggetto: Correction
Corpo della mail:
   • Please use the font arial!
Allegato:
   • corrected_doc.pif



Oggetto: Picture
Corpo della mail:
   • Do you have more photos about you?
Allegato:
   • all_pictures.pif



Oggetto: Funny
Corpo della mail:
   • You have no chance...
Allegato:
   • your_text.pif



Oggetto: Privacy
Corpo della mail:
   • Still?
Allegato:
   • document1.pif



Oggetto: Password
Corpo della mail:
   • I've your password. Take it easy!
Allegato:
   • passwords02.pif



Oggetto: Criminal
Corpo della mail:
   • Hey, are you criminal?
Allegato:
   • myabuselist.pif



Oggetto: Stolen
Corpo della mail:
   • Do you have asked me?
Allegato:
   • my_stolen_document.pif



Oggetto: Illegal
Corpo della mail:
   • Please do not send me your illegal stuff again!!!
Allegato:
   • abuses.pif



Oggetto: Found
Corpo della mail:
   • I've found your creditcard. Check the data!
Allegato:
   • visa_data.pif



L'email pu presentarsi come una delle seguenti:



 Invio di messaggi Cerca indirizzi:
Cerca i seguenti file per gli indirizzi email:
   • ADB; ASP; CFG; CGI; DBX; DHTM; DOC; EML; HTM; HTML; JSP; MBX; MDX;
      MHT; MMF; MSG; NCH; ODS; OFT; PHP; PL; PPT; RTF; SHT; SHTM; STM; TBB;
      TXT; UIN; VBS; WAB; WSH; XLS; XML


Evita indirizzi:
Non invia email agli indirizzi che contengono una delle seguenti stringhe:
   • iruslis; antivir; sophos; freeav; andasoftwa; skynet; messagelabs;
      abuse; fbi; orton; f-pro; aspersky; cafee; orman; itdefender; f-secur;
      avp; spam; ymantec; antivi; icrosoft


Risoluzione dei nomi (DNS):
Se la richiesta tramite il DNS standard fallisce, continua con la seguente:
Ha la capacit di contattare i seguenti server DNS:
   • 212.7.128.162; 212.7.128.165; 193.193.158.10; 194.25.2.131;
      194.25.2.132; 194.25.2.133; 194.25.2.134; 62.155.255.16;
      212.185.252.73; 212.185.253.70; 212.185.252.136; 194.25.2.129;
      194.25.2.130; 195.20.224.234; 217.5.97.137; 194.25.2.129;
      193.193.144.12; 193.141.40.42; 145.253.2.171; 193.189.244.205;
      213.191.74.19; 151.189.13.35; 195.185.185.195; 212.44.160.8

 Varie Mutex:
Crea il seguente Mutex:
   • S-k-y-n-e-t--A-n-t-i-v-i-r-u-s-T-e-a-m


Stringa:
In pi contiene la seguente stringa:
   • Hey Bagle, feel our revenge!

 Dettagli del file Linguaggio di programmazione:
Il malware stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.


Data di compilazione:
Data: 22/04/2003
Ora: 22:44:02

Descrizione inserita da Dragos Tomescu su mercoledì 27 luglio 2005
Descrizione aggiornata da Dragos Tomescu su mercoledì 23 novembre 2005

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.