Worm/NetSky.X.12 - Worm

参照

概要

詳しい説明

統計

ウイルス	Worm/NetSky.X.12
発見日：	09/01/2007
タイプ	ワーム
感染報告有り	いいえ
感染報告	低
感染の可能性	中
ダメージ・ポテンシャル	低～中
スタティック・ファイル	はい
ファイル・サイズ	29.184 バイト
MD5　チェックサム	47ce2ebadf10b72efe09623e05499778
VDFファージョン：	6.36.01.018
IVDFファージョン：	6.36.01.018

一般情報 感染方法
   • Eメール

別名
   • McAfee(マカフィー) W32/Netsky@MM
   • Kaspersky(カスペルスキー) Email-Worm.Win32.NetSky.x
   • Grisoft I-Worm/Netsky.EC
   • Eset Win32/Netsky.N
   • ビットディフェンダー(Bitdefender)： Win32.Netsky.W@mm

プラットフォーム/OS：
   • ウインドウズ 95
   • ウインドウズ 98
   • ウインドウズ 98 SE
   • ウインドウズ NT
   • ウインドウズ ME
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003

副作用
   • 悪意ファイルを作成します。
   • それ自身のメール・エンジンを利用します。
   • レジストリの改変。

ファイルそれ自体を以下の場所にコピーします。
   • %WINDIR%\DiskMonitor.exe

以下のファイルが作成されます：

– このファイルをMIMEでエンコードしたコピー
   • %WINDIR%\constant
   • %WINDIR%\your_details.doc
   • %WINDIR%\666!.hel
   • %WINDIR%\document.htm
   • %WINDIR%\voltaput
   • %WINDIR%\doc.txt
   • %WINDIR%\mulala!!
   • %WINDIR%\doc.pif
   • %WINDIR%\vaca.vac
   • %WINDIR%\your_details.scr
   • %WINDIR%\puta.vac
   • %WINDIR%\document.exe
   • %WINDIR%\baseadofum
   • %WINDIR%\paula!.ama

レジストリ以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです：

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "AleVi"="%WINDIR%\DiskMonitor.exe"

以下のレジストリ・キーの値が消えています：

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Explorer
   • system
   • msgsvr32
   • service
   • DELETE ME
   • Sentry
   • Taskmon
   • Windows Services Host

– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Explorer
   • au.exe
   • d3dupdate.exe
   • OLE
   • gouday.exe
   • rate.exe
   • Taskmon
   • Windows Services Host
   • sysmon.exe
   • srate.exe
   • ssate.exe

– [HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}]
   • InProcServer32

Eメールそれはメールを送るためSMTPエンジンが搭載されています。送り先のサーバとの直接接続が構築されます。特徴は以下の通りです：

送信者
送信者のアドレスは改変されています(spoof)。

宛先:
– システム内のあるファイルにあるメールアドレス

件名
件名は空欄のままになっていることもあります。
件名はランダムな文字列になっていることもあります。
メールの件名は以下の中から構成されます：

    以下のうちのどれかから始まることがあります：
   • RE:

    その後に以下のうちのどれかが続くことがあります：
   • RE:

    以下のうちのどれかが続きます：
   • Nossas contas leia!
   • Aprovado!
   • Delicia!
   • Contas!
   • Obrigado!
   • Passou!!
   • Valeu!!
   • Grana
   • Pena
   • sol
   • BRAS

本文
– HTMLコードを含みます。

メールの本文は以下のうちのどれかです：

   • @Lamento sabe!

   • Olha a festa!!

   • Nao sei o que eh isso me diga! Tabela de precos de Natal veja!!!!.

   • Conta regularizada veja aqui!!

   • Veja os arquivos que te mandei aqui!!!.

   • Proposta de emprego veja

   • O que isso heim

   • Conta Fechada

   • Quero sua opiniao leia tudo ta bjs!

   • Tenho pressa ve e me liga!!!

   • Olha nossas fotos (RS)

   • Leia rapido o arquivo!!!!

   • Nossas contas veja detalhe

   • Por-favor entre em contato!!!.

   • Grande Oportunidade veja os detalhes !!!.

以下のものが続きます：

   • --------------------------------------------
     %添付ファイル名%:Nao Tem Virus!
     Norton AntiVirus Procura
     Progressiva
     FiqueProtegido www.symantec.com

添付ファイル
添付ファイルの名前は以下のものから構成されています：

– 以下のうちのどれかで始まります：
   • Bala
   • Cambau
   • Fotos!!
   • Me Liga ta???
   • Me liga vai
   • Mentira
   • Nossa Conta
   • Olha isso!!
   • Paes
   • Saia de Ferias
   • Sandra!!
   • Sua Conta!!!
   • Te Amo!
   • Vaga
   • Vida

その後に以下のうちのどれかが続くことがあります：
   • _%受信者のメールアドレスから取られたユーザ名%

    ファイル拡張子は以下のうちのどれかです：
   • .zip
   • .pif
   • .exe
   • .scr

これは添付ファイルの名前がどのようなものであるかの例です：
   • Bala__%受信者のメールアドレスから取られたユーザ名%.exe
   • Sandra!!.pif

添付ファイルは、マルウェア自身のコピーです。

メールは以下のうちのどれかであることもあります：

送信 アドレスの検索：
以下のファイルからメールアドレスを検索します：
   • .xml; .wsh; .jsp; .msg; .oft; .sht; .dbx; .tbb; .adb; .dhtm; .cgi;
      .shtm; .uin; .rtf; .vbs; .doc; .wab; .asp; .php; .txt; .eml; .html;
      .htm; .pl

MX文字列を前に入れます：
メールサーバのIPアドレスを取るために、以下の文字列をドメイン名の前に入れます：
   • mail.
   • mx.
   • mx2.

その他 Mutex(ミューテック)
以下のMutex(ミューテック）を作成します：
• VxBrasil_Causando!

文字列
さらに以下の文字列を含みます：
• Se voce esta lendo isso veja bem quero dizer que consigo codar um Worm sozinho so que nao estou afim entao ve se para de criticar algo que alguem fez e faca algo ta bom. Eh sim eh uma versao do NetSky Disassemblada e modificada Falou. Queria fazer um protesto aqui com essa merda de WORM que ja deu o que tinha que dar. Aonde nosso BRASIL vai parar? Queria um emprego descente so que so me derao migalhas? Ate quando teremos que tolerar essas pessoas que dizem fazer pela gente e fazem o mesmo que todo mundo mentem e roubao? Queria mais que um emprego descente queria ter Orgulho de ser BRASILEIRO!!!VXBRASIL NOS NAO ESTAMOS MORTOS SE PREPAREM PARA UMA NOVA ERA DOS VIRUS DE COMPUTADOR.11/11/2006 SAMPA!

ファイルの詳細 プログラム言語:
このマルウェアプログラムはMS Visual C++で書かれています。

ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
• PE Pack

簡単な説明はココにあります。.

この説明は Monica Ghitun によって Tue, 09 Jan 2007 14:49 (GMT+1) 書き込まれました。
この説明は Monica Ghitun によって Tue, 09 Jan 2007 16:45 (GMT+1) 更新されました。

» マルウェアについて
» フィッシングについて
» In the Wild ウイルス

« 戻る