Worm/NetSky.AA - Worm

参照

概要

詳しい説明

統計

ウイルス	Worm/NetSky.AA
発見日：	22/05/2005
タイプ	ワーム
感染報告有り	はい
感染報告	中
感染の可能性	中
ダメージ・ポテンシャル	低
スタティック・ファイル	はい
ファイル・サイズ	27.136 バイト
MD5　チェックサム	c43fa1b082302f3b8e01d77fb95c78c6
VDFファージョン：	6.25.00.34

一般情報 感染方法
   • Eメール

別名
   • Symantec(シマンテック) W32.Netsky.Z@mm
   • McAfee(マカフィー) W32/Netsky
   • Kaspersky(カスペルスキー) Email-Worm.Win32.NetSky.aa
   • TrendMicro(トレンドマイクロ） WORM_NETSKY.Z
   • F-Secure(エフ・セキュア) W32/Netsky.AK@mm
   • Grisoft I-Worm/Netsky.Z
   • ウイルスバスター I-Worm.NetSky.Z1
   • ビットディフェンダー(Bitdefender)： Win32.Netsky.AA@mm

プラットフォーム/OS：
   • ウインドウズ 95
   • ウインドウズ 98
   • ウインドウズ 98 SE
   • ウインドウズ NT
   • ウインドウズ ME
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003

副作用
   • それ自身のメール・エンジンを利用します。
   • レジストリの改変。

ファイルそれ自体を以下の場所にコピーします。
   • %WINDIR%\Jammer2nd.exe

以下のファイルが作成されます：

– マルウェアのコピーを含む以下のアーカイブを作成します：
   • %WINDIR%\pk_zip_alg.log

– このファイルをMIMEでエンコードしたコピー
   • %WINDIR%\pk_zip1.log
   • %WINDIR%\pk_zip2.log
   • %WINDIR%\pk_zip3.log
   • %WINDIR%\pk_zip4.log
   • %WINDIR%\pk_zip5.log
   • %WINDIR%\pk_zip6.log
   • %WINDIR%\pk_zip7.log
   • %WINDIR%\pk_zip8.log

レジストリ以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです：

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "Jammer2nd"="%WINDIR%\Jammer2nd.exe"

Eメールそれはメールを送るためSMTPエンジンが搭載されています。送り先のサーバとの直接接続が構築されます。特徴は以下の通りです：

送信者
送信者のアドレスは改変されています(spoof)。
作成されたアドレスです。送信者は送る意図があって送ったわけではありません。送信者は、感染されたことに気づいていないかもしれませんし、まったく感染していないかもしれません。さらに、あなたが感染されたと告げる多数のメールを受け取る可能性があります。これも真実ではないことがあります。

宛先:
– システム内のあるファイルにあるメールアドレス
– ウインドウズ・アドレス帳(WAB)を使って集められたメールアドレス
メールの受信者は以下の通りです：
   • jamainlbbbsdef@yahoo.com

件名
以下のもの：
   • Document
   • Hello
   • Hi
   • Important
   • Information

本文
メールの本文は以下の通りです：
   • Important bill!
   • Important data!
   • Important details!
   • Important document!
   • Important informations!
   • Important notice!
   • Important textfile!
   • Important!

添付ファイル
添付ファイルの名前は：
   • Bill.zip
   • Data.zip
   • Details.zip
   • Important.zip
   • Informations.zip
   • Notice.zip
   • Part-2.zip
   • Textfile.zip

送信 アドレスの検索：
以下のファイルからメールアドレスを検索します：
   • .ppt; .xml; .wsh; .jsp; .msg; .oft; .sht; .nch; .mmf; .mht; .dbx;
      .tbb; .adb; .xls; .stm; .ods; .dhtm; .cgi; .shtm; .uin; .rtf; .vbs;
      .php; .txt; .eml; .doc; .wab; .asp; .html; .htm; .pl; .mdx; .mbx; .cfg

DNSと接続してIPアドレスを得ます：
標準DNSの利用を要求して失敗すると、以下のことを試みます；
DNSサーバに接続する能力があります：
   • 212.44.160.8; 195.185.185.195; 151.189.13.35; 213.191.74.19;
      193.189.244.205; 145.253.2.171; 193.141.40.42; 194.25.2.134;
      194.25.2.133; 194.25.2.132; 194.25.2.131; 193.193.158.10;
      212.7.128.165; 212.7.128.162; 193.193.144.12; 217.5.97.137;
      195.20.224.234; 194.25.2.130; 194.25.2.129; 212.185.252.136;
      212.185.253.70; 212.185.252.73

バックドア以下のポートが開かれます：

– %実行ファイル% TCPポートに 665 バックドアを開くため

DoS に 02/05/2004 以下の宛先にDoS攻撃を開始します。
   • www.nibis.de
   • www.medinfo.ufl.edu
   • www.educa.ch

その他 Mutex(ミューテック)
以下のMutex(ミューテック）を作成します：
• (S)(k)(y)(N)(e)(t)

文字列
さらに以下の文字列を含みます：
• :::::::::::They never learn it!:::::::::::

ファイルの詳細 プログラム言語:
このマルウェアプログラムはMS Visual C++で書かれています。

ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
• ASPack 2.11c

簡単な説明はココにあります。.

この説明は Razvan Olteanu によって Mon, 29 Aug 2005 15:41 (GMT+1) 書き込まれました。
この説明は Andrei Ivanes によって Tue, 14 Mar 2006 08:36 (GMT+1) 更新されました。

» マルウェアについて
» フィッシングについて
» In the Wild ウイルス

« 戻る