Descrizione completa

Nome del virus:	Worm/Netsky.O.2
Scoperto:	16/04/2004
Tipo:	Worm
In circolazione (ITW):	Si
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Medio-Basso
Potenziale di danni:	Medio-Basso
File statico:	Si
Dimensione del file:	24.064 Byte
Somma di controllo MD5:	e6d771c24e8dbaf9543851e893c3e304
Versione IVDF:	6.25.00.16 - venerdì 16 aprile 2004

Generale Metodo di propagazione:
   • Email

Alias:
   • Mcafee: W32/Netsky.w
   • Sophos: W32/Netsky-N
   • Panda: W32/Netsky.W.worm
   • Eset: Win32/Netsky.N
   • Bitdefender: Win32.NetSky.X@mm

Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Duplica file “maligni”
   • Utilizza un proprio motore SMTP per l'invio di email
   • Modifica del registro

File Si copia alla seguente posizione:
• %WINDIR%\VisualGuard.exe

Vengono creati i seguenti file:

– %WINDIR%\zip1.tmp
– %WINDIR%\zip4.tmp
– %WINDIR%\base64.tmp
– %WINDIR%\zip3.tmp
– %WINDIR%\zip5.tmp Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Netsky.W.1

– %WINDIR%\zipped.tmp Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Netsky.X

– %WINDIR%\zip2.tmp
– %WINDIR%\zip6.tmp

Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "NetDy"="%WINDIR%\VisualGuard.exe"

I valori delle seguenti chiavi di registro vengono rimossi:

– [HKLM\SOFTWARE\Classes\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\
   InProcServer32]
   • "@"
   • "ThreadingModel"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "d3dupdate.exe"
   • "Explorer"
   • "Taskmon"
   • "Windows Services Host"
   • "au.exe"
   • "sysmon.exe"
   • "ssate.exe"
   • "gouday.exe"
   • "rate.exe"
   • "srate.exe"
   • "OLE"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Explorer"
   • "service"
   • "system."
   • "Taskmon"
   • "Sentry"
   • "Windows Services Host"
   • "DELETE ME"
   • "msgsvr32"

Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:
Utilizza il Messaging Application Programming Interface (MAPI) per inviare email. Le caratteristiche sono ulteriormente descritte:

Da:
L'indirizzo del mittente è falso.
L’indirizzo del mittente è l'account Outlook dell'utente.

A:
– Indirizzi email trovati in specifici file sul sistema.
– Indirizzi email raccolti da WAB (Windows Address Book)
L'oggetto dell'email è costruito estrapolandolo dai seguenti:

    Inizia con uno dei seguenti:
   • Re:

    A volte seguito da uno dei seguenti:
   • Re:

    Seguito da uno dei seguenti:
   • read it immediately
   • important
   • improved
   • patched
   • corrected
   • approved
   • thanks!
   • hello
   • hi
   • here
   • document_all
   • text
   • message
   • data
   • excel document
   • word document
   • bill
   • screensaver
   • application
   • website
   • product
   • letter
   • information
   • details
   • file
   • document
   • important
   • approved
   • my
   • your

Corpo dell'email:
– Contiene codice HTML.
Il corpo dell’email è come uno dei seguenti:

   • Your details.
     Your document.
     I have received your document. The corrected document is attached.
     I have attached your document.
     Your document is attached to this mail.
     Authentication required.
     Requested file.
     See the file.
     Please read the important document.
     Please confirm the document.
     Your file is attached.
     Please read the document.
     Your document is attached.
     Please read the attached file.
     Please see the attached file for details.

Seguito dal seguente:

   • %nome file dell'allegato%: No virus found
     Powered by the new Norton OnlineScan
     Get protected: www.symantec.com

File allegato:
I nomi dei file allegati vengono estrapolati dai seguenti:

– Inizia con uno dei seguenti:
   • important
   • improved
   • patched
   • corrected
   • approved
   • thanks!
   • hello
   • hi
   • here
   • document_all
   • text
   • message
   • data
   • excel document
   • word document
   • bill
   • screensaver
   • application
   • website
   • product
   • letter
   • information
   • details
   • file
   • document
   • important
   • approved
   • my
   • your

    Seguito da una delle seguenti estensioni fasulle:
   • .zip
   • .pif
   • .exe
   • .scr

Qui ci sono alcuni esempi di come il nome del file allegato potrebbe presentarsi:
   • application.pif
   • application.scr
   • data.exe
   • details.zip
   • document.exe
   • document_all.scr
   • document_all_infoservice.pif
   • excel document.zip
   • file.pif
   • information_hot-line.zip
   • message.zip
   • product.pif
   • screensaver.scr
   • website_mts.zip

L'allegato è una copia del malware stesso.

Invio di messaggi Cerca indirizzi:
Cerca i seguenti file per gli indirizzi email:
   • .xml; .wsh; .jsp; .msg; .oft; .sht; .dbx; .tbb; .adb; .dhtm; .cgi;
      .shtm; .uin; .rtf; .vbs; .doc; .wab; .asp; .php; .txt; .eml; .html;
      .htm; .pl

Varie Stringa:
In più contiene le seguenti stringhe:
   • <*>NetDy: Thanks to the SkyNet alias NetSky crew for the sourcecode.
   • <*>NetDy: We have rewritten NetSky.
   • <*>NetDy: Thats a good tactic to detroy the bagle and mydoom worms.
   • <*>NetDy: Our group will continue the war.
   • <*>NetDy: Malware writers 'End' comes true.
   • <*>NetDy: Our Social Engineering is the best *lol* (You have no virus symantec says!).
   • <*>NetDy: ----------------------------------------------------------------------------
   • <*>NetDy: We are greeting all russia people!

Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su venerdì 5 marzo 2010
Descrizione aggiornata da Petre Galan su lunedì 8 marzo 2010

Indietro . . . .

La migliore protezione per PC

Prodotti gratuiti

I prodotti piu conosciuti

Tutti i prodotti

Soluzioni unificate

Postazioni lavoro

Server

Soluzioni unificate

Mail Gateways

Web Gateways

Piattaforme di collaborazione

Per utenti privati

Per aziende

Virus Lab

Ulteriore supporto

Diventa un Partner di Avira

Per utenti privati

Per aziende

Desideri provare un prodotto?

Manuali e Strumenti