Nome del virus:Worm/NetSky.X.12
Scoperto:09/01/2007
Tipo:Worm
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:29.184 Byte
Somma di controllo MD5:47ce2ebadf10b72efe09623e05499778
Versione VDF:6.36.01.018
Versione IVDF:6.36.01.018

 Generale Metodo di propagazione:
   • Email


Alias:
   •  Mcafee: W32/Netsky@MM
   •  Kaspersky: Email-Worm.Win32.NetSky.x
   •  Grisoft: I-Worm/Netsky.EC
   •  Eset: Win32/Netsky.N
   •  Bitdefender: Win32.Netsky.W@mm


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file “maligni”
   • Utilizza un proprio motore SMTP per l'invio di email
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %WINDIR%\DiskMonitor.exe



Vengono creati i seguenti file:

– Copie di se stesso con codifica MIME:
   • %WINDIR%\constant
   • %WINDIR%\your_details.doc
   • %WINDIR%\666!.hel
   • %WINDIR%\document.htm
   • %WINDIR%\voltaput
   • %WINDIR%\doc.txt
   • %WINDIR%\mulala!!
   • %WINDIR%\doc.pif
   • %WINDIR%\vaca.vac
   • %WINDIR%\your_details.scr
   • %WINDIR%\puta.vac
   • %WINDIR%\document.exe
   • %WINDIR%\baseadofum
   • %WINDIR%\paula!.ama

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "AleVi"="%WINDIR%\DiskMonitor.exe"



I valori delle seguenti chiavi di registro vengono rimossi:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Explorer
   • system
   • msgsvr32
   • service
   • DELETE ME
   • Sentry
   • Taskmon
   • Windows Services Host

–  [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Explorer
   • au.exe
   • d3dupdate.exe
   • OLE
   • gouday.exe
   • rate.exe
   • Taskmon
   • Windows Services Host
   • sysmon.exe
   • srate.exe
   • ssate.exe

–  [HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}]
   • InProcServer32

 Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:


Da:
L'indirizzo del mittente è falso.


A:
– Indirizzi email trovati in specifici file sul sistema.


Oggetto:
In alcuni casi l'oggetto può anche essere vuoto.
Inoltre la riga dell’oggetto può contenere delle lettere casuali.
L'oggetto dell'email è costruito estrapolandolo dai seguenti:

    A volte inizia con uno dei seguenti:
   • RE:

    A volte seguito da uno dei seguenti:
   • RE:

    Seguito da uno dei seguenti:
   • Nossas contas leia!
   • Aprovado!
   • Delicia!
   • Contas!
   • Obrigado!
   • Passou!!
   • Valeu!!
   • Grana
   • Pena
   • sol
   • BRAS


Corpo dell'email:
– Contiene codice HTML.


Il corpo dell’email è come uno dei seguenti:

   • @Lamento sabe!

   • Olha a festa!!

   • Nao sei o que eh isso me diga! Tabela de precos de Natal veja!!!!.

   • Conta regularizada veja aqui!!

   • Veja os arquivos que te mandei aqui!!!.

   • Proposta de emprego veja

   • O que isso heim

   • Conta Fechada

   • Quero sua opiniao leia tudo ta bjs!

   • Tenho pressa ve e me liga!!!

   • Olha nossas fotos (RS)

   • Leia rapido o arquivo!!!!

   • Nossas contas veja detalhe

   • Por-favor entre em contato!!!.

   • Grande Oportunidade veja os detalhes !!!.


Seguito dal seguente:

   • --------------------------------------------
     %nome file dell'allegato%:Nao Tem Virus!
     Norton AntiVirus Procura
     Progressiva
     FiqueProtegido www.symantec.com


File allegato:
Il nome del file allegato viene estrapolato dai seguenti:

–  Inizia con uno dei seguenti:
   • Bala
   • Cambau
   • Fotos!!
   • Me Liga ta???
   • Me liga vai
   • Mentira
   • Nossa Conta
   • Olha isso!!
   • Paes
   • Saia de Ferias
   • Sandra!!
   • Sua Conta!!!
   • Te Amo!
   • Vaga
   • Vida

A volte seguito da uno dei seguenti:
   • _%nome utente dall'indirizzo email del ricevente%

    L'estensione del file è una delle seguenti:
   • .zip
   • .pif
   • .exe
   • .scr



Qui ci sono alcuni esempi di come il nome del file allegato potrebbe presentarsi:
   • Bala__%nome utente dall'indirizzo email del ricevente%.exe
   • Sandra!!.pif

L'allegato è una copia del malware stesso.



L'email può presentarsi come una delle seguenti:



 Invio di messaggi Cerca indirizzi:
Cerca i seguenti file per gli indirizzi email:
   • .xml; .wsh; .jsp; .msg; .oft; .sht; .dbx; .tbb; .adb; .dhtm; .cgi;
      .shtm; .uin; .rtf; .vbs; .doc; .wab; .asp; .php; .txt; .eml; .html;
      .htm; .pl


Aggiunte alla stringa MX:
Per ottenere l'indirizzo IP del mail server, ha la capacità di aggiungere in testa al nome di dominio le seguenti stringhe:
   • mail.
   • mx.
   • mx2.

 Varie Mutex:
Crea il seguente Mutex:
   • VxBrasil_Causando!


Stringa:
In più contiene la seguente stringa:
   • Se voce esta lendo isso veja bem quero dizer que consigo codar um Worm sozinho so que nao estou afim entao ve se para de criticar algo que alguem fez e faca algo ta bom. Eh sim eh uma versao do NetSky Disassemblada e modificada Falou. Queria fazer um protesto aqui com essa merda de WORM que ja deu o que tinha que dar. Aonde nosso BRASIL vai parar? Queria um emprego descente so que so me derao migalhas? Ate quando teremos que tolerar essas pessoas que dizem fazer pela gente e fazem o mesmo que todo mundo mentem e roubao? Queria mais que um emprego descente queria ter Orgulho de ser BRASILEIRO!!!VXBRASIL NOS NAO ESTAMOS MORTOS SE PREPAREM PARA UMA NOVA ERA DOS VIRUS DE COMPUTADOR.11/11/2006 SAMPA!

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • PE Pack

Descrizione inserita da Monica Ghitun su martedì 9 gennaio 2007
Descrizione aggiornata da Monica Ghitun su martedì 9 gennaio 2007

Indietro . . . .