Descrizione completa

Nome del virus:	Worm/Netsky.T
Scoperto:	05/04/2004
Tipo:	Worm
In circolazione (ITW):	Si
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Medio-Basso
Potenziale di danni:	Medio-Basso
File statico:	Si
Dimensione del file:	18.432 Byte
Somma di controllo MD5:	5e12dace2155beca61c050ad2deb519a
Versione IVDF:	6.24.00.86 - lunedì 5 aprile 2004

Generale Metodo di propagazione:
   • Email

Alias:
   • Mcafee: W32/Netsky.s
   • Sophos: W32/Netsky-S
   • Panda: W32/Netsky.S.worm
   • Eset: Win32/Netsky.S
   • Bitdefender: Win32.Netsky.S@mm

Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Duplica file “maligni”
   • Utilizza un proprio motore SMTP per l'invio di email
   • Modifica del registro

File Si copia alla seguente posizione:
• %WINDIR%\EasyAV.exe

Viene creato il seguente file:

– %WINDIR%\uinmzertinmds.opm Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Netsky.T

Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "EasyAV"="%WINDIR%\EasyAV.exe"

Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:
Utilizza il Messaging Application Programming Interface (MAPI) per inviare email. Le caratteristiche sono ulteriormente descritte:

Da:
L'indirizzo del mittente è falso.
L’indirizzo del mittente è l'account Outlook dell'utente.

A:
– Indirizzi email trovati in specifici file sul sistema.
– Indirizzi email raccolti da WAB (Windows Address Book)

Oggetto:
Uno dei seguenti:
   • Hello!; Hi!; Re: Important; Important; Re: My details; My details; Re:
      Your information; Your information; Re: Your details; Your details;
      Re: Your document; Your document; Re: Request; Request; Re: Thanks
      you!; Thank you!; Re: Approved; Approved; Re: Hello; Re: Hi; Hello; Hi

    A volte inizia con uno dei seguenti:

Corpo dell'email:
– Contiene codice HTML.
Il corpo dell’email è come uno dei seguenti:

   • Hello!
     Hi!

   • Note that I have attached your document.
     My %nome file dell'allegato%.
     The %nome file dell'allegato%.
     I have spent much time for the %nome file dell'allegato%.
     I have spent much time for your document.
     Your %nome file dell'allegato%.
     Please notice the attached %nome file dell'allegato%.
     Please notice the attached document.
     Please read quickly.
     For more details see the attached document.
     For more information see the attached document.
     Approved, here is the document.
     I have found the %nome file dell'allegato%.
     My %nome file dell'allegato% is attached.
     Your %nome file dell'allegato% is attached.
     Please, %nome file dell'allegato%.
     Your file is attached to this mail.
     Please read the attached document.
     Please have a look at the attached document.
     See the document for details.
     Here is the document.
     The requested %nome file dell'allegato% is attached!
     I have sent the %nome file dell'allegato%.
     Please see the %nome file dell'allegato%.
     The %nome file dell'allegato% is attached.
     Here is the %nome file dell'allegato%.
     Please have a look at the %nome file dell'allegato%.
     Please read the %nome file dell'allegato%.

A volte seguito dal seguente:

   • Yours sincerely
     Thank you
     Thanks

Seguito da uno dei seguenti:

   • +++ X-Attachment-Type: document
     +++ X-Attachment-Status: no virus found
     +++ Powered by the new Panda OnlineAntiVirus
     +++ Website: www.pandasoftware.com
     +++ X-Attachment-Type: document
     +++ X-Attachment-Status: no virus found
     +++ Powered by the new MCAfee OnlineAntiVirus
     +++ Homepage: www.mcafee.com
     +++ X-Attachment-Type: document
     +++ X-Attachment-Status: no virus found
     +++ Powered by the new F-Secure OnlineAntiVirus
     +++ Visit us: www.f-secure.com
     +++ X-Attachment-Type: document
     +++ X-Attachment-Status: no virus found
     +++ Powered by the new Norton OnlineAntiVirus
     +++ Free trial: www.norton.com

File allegato:
I nomi dei file allegati vengono estrapolati dai seguenti:

– Inizia con uno dei seguenti:
   • abuse_list
   • approved_document
   • archive
   • bill
   • developement
   • diggest
   • excel_document
   • file
   • homepage
   • icq_number
   • information
   • message
   • movie_document
   • notice
   • number_list
   • postcard
   • report
   • story
   • summary
   • word_document

Seguito da uno dei seguenti:
   • %numero%

    Seguito da una delle seguenti estensioni fasulle:
   • .pif

Qui ci sono alcuni esempi di come il nome del file allegato potrebbe presentarsi:
   • abuse_list4.pif
   • approved_document7.pif
   • bill1.pif
   • developement7.pif
   • file6.pif

L'allegato è una copia del malware stesso.

Invio di messaggi Cerca indirizzi:
Cerca i seguenti file per gli indirizzi email:
   • .xml; .wsh; .jsp; .msg; .oft; .sht; .dbx; .tbb; .adb; .dhtm; .cgi;
      .shtm; .uin; .rtf; .vbs; .doc; .wab; .asp; .php; .txt; .eml; .html;
      .htm; .pl

Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su venerdì 5 marzo 2010
Descrizione aggiornata da Petre Galan su lunedì 8 marzo 2010

Indietro . . . .

La migliore protezione per PC

Prodotti gratuiti

I prodotti piu conosciuti

Tutti i prodotti

Soluzioni unificate

Postazioni lavoro

Server

Soluzioni unificate

Mail Gateways

Web Gateways

Piattaforme di collaborazione

Per utenti privati

Per aziende

Virus Lab

Ulteriore supporto

Diventa un Partner di Avira

Per utenti privati

Per aziende

Desideri provare un prodotto?

Manuali e Strumenti