Nome del virus:Worm/Netsky.S.1
Scoperto:31/03/2004
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:20.624 Byte
Somma di controllo MD5:5bbb322a70a6a248369f45ece8d9e79b
Versione IVDF:6.24.00.78 - mercoledì 31 marzo 2004

 Generale Metodo di propagazione:
   • Email


Alias:
   •  Mcafee: W32/Netsky.r
   •  Sophos: W32/Netsky-R
   •  Panda: W32/Netsky.R.worm
   •  Eset: Win32/Netsky.P
   •  Bitdefender: Win32.Netsky.R@mm


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file “maligni”
   • Utilizza un proprio motore SMTP per l'invio di email
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %WINDIR%\pandaavengine.exe



Vengono creati i seguenti file:

%WINDIR%\uinmzertinmds.opm Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Netsky.R

%WINDIR%\temp09094283.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Netsky.S.2

 Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "PandaAVEngine"="%WINDIR%\PandaAVEngine.exe"

 Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:
Utilizza il Messaging Application Programming Interface (MAPI) per inviare email. Le caratteristiche sono ulteriormente descritte:


A:
– Indirizzi email trovati in specifici file sul sistema.
– Indirizzi email raccolti da WAB (Windows Address Book)
L'oggetto dell'email è costruito estrapolandolo dai seguenti:

    Inizia con uno dei seguenti:
   • Re:

    Seguito da uno dei seguenti:
   • Document

    Seguito da uno dei seguenti:
   • %numero%


Corpo dell'email:
– Contiene codice HTML.
Il corpo dell’email è come uno dei seguenti:

   • Your document is attached.


Seguito dal seguente:

   • No virus found
     Powered by the new Norton OnlineScan
     Get protected:


File allegato:

–  Inizia con uno dei seguenti:
   • Document

Seguito da uno dei seguenti:
   • %numero%

    Seguito da una delle seguenti estensioni fasulle:
   • .pif

L'allegato è una copia del malware stesso.

 Invio di messaggi Cerca indirizzi:
Cerca i seguenti file per gli indirizzi email:
   • .xml; .wsh; .jsp; .msg; .oft; .sht; .dbx; .tbb; .adb; .dhtm; .cgi;
      .shtm; .uin; .rtf; .vbs; .doc; .wab; .asp; .php; .txt; .eml; .html;
      .htm; .pl

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su venerdì 5 marzo 2010
Descrizione aggiornata da Petre Galan su venerdì 5 marzo 2010

Indietro . . . .