VírusWorm/NetSky.AA
Data em que surgiu:22/05/2005
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Médio
Nível de distribuição:Médio
Nível de risco:Baixo
Ficheiro estático:Sim
Tamanho:27.136 Bytes
MD5 checksum:c43fa1b082302f3b8e01d77fb95c78c6
Versão VDF:6.25.00.34

 Vulgarmente Meio de transmissão:
   • E-mail


Alias:
   •  Symantec: W32.Netsky.Z@mm
   •  Mcafee: W32/Netsky
   •  Kaspersky: Email-Worm.Win32.NetSky.aa
   •  TrendMicro: WORM_NETSKY.Z
   •  F-Secure: W32/Netsky.AK@mm
   •  Grisoft: I-Worm/Netsky.Z
   •  VirusBuster: I-Worm.NetSky.Z1
   •  Bitdefender: Win32.Netsky.AA@mm


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Utiliza o seu próprio motor de E-mail
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localização:
   • %WINDIR%\Jammer2nd.exe



São criados os seguintes ficheiros:

– Cria o ficheiro seguinte que contém uma cópia do malware:
   • %WINDIR%\pk_zip_alg.log

– Cópias com codificação MIME de si mesmo:
   • %WINDIR%\pk_zip1.log
   • %WINDIR%\pk_zip2.log
   • %WINDIR%\pk_zip3.log
   • %WINDIR%\pk_zip4.log
   • %WINDIR%\pk_zip5.log
   • %WINDIR%\pk_zip6.log
   • %WINDIR%\pk_zip7.log
   • %WINDIR%\pk_zip8.log

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Jammer2nd"="%WINDIR%\Jammer2nd.exe"

 E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:


De:
O endereço do remetente é falsificado.
Endereços gerados. Não assuma que é intenção do remetente enviar este email para si. Ele pode não saber que tem o sistema infectado, pode mesmo não estar infectado. Além disso é provável que receba emails que digam que está infectado. Pode não ser o caso.


Para:
– Endereços de email encontrados em determinados ficheiros no sistema.
– Endereços de e-mail recolhidos do WAB (Windows Address Book).
O destinatário do e-mail é o seguinte:
   • jamainlbbbsdef@yahoo.com


Assunto:
Um dos seguintes:
   • Document
   • Hello
   • Hi
   • Important
   • Information



Corpo:
O corpo do email tem uma das seguintes linhas:
   • Important bill!
   • Important data!
   • Important details!
   • Important document!
   • Important informations!
   • Important notice!
   • Important textfile!
   • Important!


Atalho:
O ficheiro de atalho tem um dos seguintes nomes:
   • Bill.zip
   • Data.zip
   • Details.zip
   • Important.zip
   • Informations.zip
   • Notice.zip
   • Part-2.zip
   • Textfile.zip

 Mailing Pesquisa endereços:
Procura endereços de email nos seguintes ficheiros:
   • .ppt; .xml; .wsh; .jsp; .msg; .oft; .sht; .nch; .mmf; .mht; .dbx;
      .tbb; .adb; .xls; .stm; .ods; .dhtm; .cgi; .shtm; .uin; .rtf; .vbs;
      .php; .txt; .eml; .doc; .wab; .asp; .html; .htm; .pl; .mdx; .mbx; .cfg


Resolver nomes de servidores:
Se o pedido através o DNS standar falhar continua com o seguinte:
Tem a capacidade de contactar os seguintes servidores DNS:
   • 212.44.160.8; 195.185.185.195; 151.189.13.35; 213.191.74.19;
      193.189.244.205; 145.253.2.171; 193.141.40.42; 194.25.2.134;
      194.25.2.133; 194.25.2.132; 194.25.2.131; 193.193.158.10;
      212.7.128.165; 212.7.128.162; 193.193.144.12; 217.5.97.137;
      195.20.224.234; 194.25.2.130; 194.25.2.129; 212.185.252.136;
      212.185.253.70; 212.185.252.73

 Backdoor É aberta a seguinte porta:

%ficheiro executado% numa porta TCP 665 Por forma a fornecer capacidades backdoor.

 DoS  Desde 02/05/2004 realiza ataques DoS contra os seguintes destinos:
   • www.nibis.de
   • www.medinfo.ufl.edu
   • www.educa.ch

 Informações diversas Mutex:
Cria o seguinte Mutex:
   • (S)(k)(y)(N)(e)(t)


Texto:
Além disso tem o seguinte texto:
   • :::::::::::They never learn it!:::::::::::

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • ASPack 2.11c

Descrição enviada por Razvan Olteanu em segunda-feira, 29 de agosto de 2005
Descrição atualizada por Andrei Ivanes em terça-feira, 14 de março de 2006

Voltar . . . .