Worm/Netsky.D.Dam - Worm

参照

概要

詳しい説明

統計

ウイルス	Worm/Netsky.D.Dam
発見日：	01/03/2004
タイプ	ワーム
感染報告有り	はい
感染報告	中～高
感染の可能性	中
ダメージ・ポテンシャル	低
スタティック・ファイル	はい
ファイル・サイズ	17.424 バイト
MD5　チェックサム	6f49434d7e4532520372a4721a7a9aec
VDFファージョン：	6.24.00.29 - Mon, 01 Mar 2004 12:32 (GMT+1)

一般情報 感染方法
   • Eメール

別名
   • Symantec(シマンテック) W32.Netsky.D@mm
   • McAfee(マカフィー) W32/Netsky.d@MM
   • Kaspersky(カスペルスキー) Email-Worm.Win32.NetSky.d
   • TrendMicro(トレンドマイクロ） WORM_NETSKY.DAM
   • F-Secure(エフ・セキュア) W32/Netsky.D@mm non-working
   • Sophos(ソフォス) W32/NetskyD-Dam
   • Grisoft I-Worm/Netsky
   • ウイルスバスター I-Worm.Netsky.D3
   • Eset Win32/Netsky.D
   • ビットディフェンダー(Bitdefender)： Win32.Netsky.D@mm

プラットフォーム/OS：
   • ウインドウズ 95
   • ウインドウズ 98
   • ウインドウズ 98 SE
   • ウインドウズ 2000
   • ウインドウズ XP

副作用
   • それ自身のメール・エンジンを利用します。
   • セキュリティの設定を低くします。
   • レジストリの改変。

ファイルそれ自体を以下の場所にコピーします。
• %WINDIR%\winlogon.exe

レジストリ以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです：

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "ICQ Net"=%WINDIR%\winlogon.exe -stealth"

以下のレジストリ・キーの値が消えています：

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • DELETE ME
   • Explorer
   • KasperskyAv
   • msgsvr32
   • Sentry
   • service
   • system.
   • Taskmon
   • Windows Services Host

– HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • au.exe
   • d3dupdate.exe
   • Explorer
   • KasperskyAv
   • OLE
   • Taskmon
   • Windows Services Host

以下のレジストリ・キーが、中に含まれるすべての値とサブキーと一緒に消されます。
   • HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
   • HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\PINF
   • HKLM\System\CurrentControlSet\Services\WksPatch

Eメールそれはメールを送るためSMTPエンジンが搭載されています。送り先のサーバとの直接接続が構築されます。特徴は以下の通りです：

送信者
送信者のアドレスは改変されています(spoof)。

宛先:
– システム内のあるファイルにあるメールアドレス

件名
以下のもの：
   • Re: Approved; Re: Details; Re: Document; Re: Excel file; Re: Hello;
      Re: Here; Re: Here is the document; Re: Hi; Re: My details; Re: Re:
      Document; Re: Re: Message; Re: Re: Re: Your document; Re: Re: Thanks!;
      Re: Thanks!; Re: Word file; Re: Your archive; Re: Your bill; Re: Your
      details; Re: Your document; Re: Your letter; Re: Your music; Re: Your
      picture; Re: Your product; Re: Your software; Re: Your text; Re: Your
      website

本文
メールの本文は以下の通りです：
   • Your file is attached.
   • Please read the attached file.
   • Please have a look at the attached file.
   • See the attached file for details.
   • Here is the file.
   • Your document is attached.

添付ファイル
添付ファイルの名前は：
   • all_document.pif; application.pif; document.pif; document_4351.pif;
      document_excel.pif; document_full.pif; document_word.pif;
      message_details.pif; message_part2.pif; mp3music.pif; my_details.pif;
      your_archive.pif; your_bill.pif; your_details.pif; your_document.pif;
      your_file.pif; your_letter.pif; your_picture.pif; your_product.pif;
      your_text.pif; your_website.pif; yours.pif

添付ファイルは、マルウェア自身のコピーです。

メールは以下のようなものです：

送信 アドレスの検索：
以下のファイルからメールアドレスを検索します：
   • .adb; .asp; .cgi; .dbx; .dhtm; .doc; .eml; .htm; .html; .msg; .oft;
      .php; .pl; .rtf; .sht; .shtm; .tbb; .txt; .uin; .vbs; .wab

アドレスは無視します：
以下の文字列を含むアドレスにはメールは送られません：
   • abuse; antivi; aspersky; avp; cafee; fbi; f-pro; f-secur; icrosoft;
      itdefender; messagelabs; orman; orton; skynet; spam; ymantec

DNSと接続してIPアドレスを得ます：
標準DNSの利用を要求して失敗すると、以下のことを試みます；
DNSサーバに接続する能力があります：
   • 145.253.2.171; 151.189.13.35; 193.141.40.42; 193.189.244.205;
      193.193.144.12; 193.193.158.10; 194.25.2.129; 194.25.2.130;
      194.25.2.131; 194.25.2.132; 194.25.2.133; 194.25.2.134;
      195.185.185.195; 195.20.224.234; 212.185.252.136; 212.185.252.73;
      212.185.253.70; 212.44.160.8; 212.7.128.162; 212.7.128.165;
      213.191.74.19; 217.5.97.137; 62.155.255.16

その他 Mutex(ミューテック)
以下のMutex(ミューテック）を作成します：
• [SkyNet.cz]SystemsMutex

文字列
さらに以下の文字列を含みます：
• "be aware! Skynet.cz - -->AntiHacker Crew<--"

簡単な説明はココにあります。.

この説明は Irina Boldea によって Tue, 30 Aug 2005 10:19 (GMT+1) 書き込まれました。
この説明は Irina Boldea によって Thu, 01 Sep 2005 13:47 (GMT+1) 更新されました。

» About Malware
» About Phishing
» Viruses In the Wild

« back