Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusWorm/Netsky.AB
Data em que surgiu:13/12/2012
Tipo:Worm
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Médio
Nível de risco:Baixo
Ficheiro estático:Sim
Tamanho:17.920 Bytes
MD5 checksum:06E4CFD33F5ED9AF43FE012C759BDA60
Versão VDF:7.11.53.216

 Vulgarmente Meio de transmissão:
   • E-mail


Alias:
   •  Symantec: W32/Netsky-AB
   •  Mcafee: W32/Netsky.ab@MM
   •  Kaspersky: I-Worm.Netsky.ac
   •  TrendMicro: WORM_NETSKY.AB
   •  Sophos: W32/Netsky-AB
   •  Grisoft: I-Worm/Netsky.AB
   •  VirusBuster: I-Worm.NetSky.AB
   •  Eset: Win32/Netsky.AB
   •  Bitdefender: Win32.Netsky.AC@mm


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Utiliza o seu próprio motor de E-mail
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localização:
   • %WINDIR%\csrss.exe

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "BagleAV"="%WINDIR%\csrss.exe"



Os valores das seguintes chaves registo do windows são eliminados:

–  HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "drvsys.exe"="%WINDIR%\drvsys.exe"

–  HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "ssgrate.exe"="%WINDIR%\ssgrate.exe"

 E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:
AM (GMT)


De:
O endereço do remetente é falsificado.
O remetente do e-mail é o seguinte:
   • xdfggra@yahoo.com


Para:
– Endereços de email encontrados em determinados ficheiros no sistema.


Formato do email:



Assunto: More samples
Body:
   • Do you have more samples?
Atalho:
   • your_picture.pif



Assunto: Wow
Body:
   • Why do you show your body?
Atalho:
   • image034.pif



Assunto: Text
Body:
   • The text you sent to me is not so good!
Atalho:
   • your_text01.pif



Assunto: Question
Body:
   • Does it hurt you?
Atalho:
   • your_picture.pif



Assunto: Pictures
Body:
   • Your pictures are good!
Atalho:
   • your_picture01.pif



Assunto: Money
Body:
   • Do you have no money?
Atalho:
   • your_bill.pif



Assunto: Hurts
Body:
   • How can I help you?
Atalho:
   • hurts.pif



Assunto: Numbers
Body:
   • Are your numbers correct?
Atalho:
   • pin_tel.pif



Assunto: Letter
Body:
   • Do you have written the letter?
Atalho:
   • your_letter_03.pif



Assunto: Letter
Body:
   • True love letter?
Atalho:
   • your_letter.pif



Assunto: Only love?
Body:
   • Wow! Why are you so shy?
Atalho:
   • loveletter02.pif



Assunto: Correction
Body:
   • Please use the font arial!
Atalho:
   • corrected_doc.pif



Assunto: Picture
Body:
   • Do you have more photos about you?
Atalho:
   • all_pictures.pif



Assunto: Funny
Body:
   • You have no chance...
Atalho:
   • your_text.pif



Assunto: Privacy
Body:
   • Still?
Atalho:
   • document1.pif



Assunto: Password
Body:
   • I've your password. Take it easy!
Atalho:
   • passwords02.pif



Assunto: Criminal
Body:
   • Hey, are you criminal?
Atalho:
   • myabuselist.pif



Assunto: Stolen
Body:
   • Do you have asked me?
Atalho:
   • my_stolen_document.pif



Assunto: Illegal
Body:
   • Please do not send me your illegal stuff again!!!
Atalho:
   • abuses.pif



Assunto: Found
Body:
   • I've found your creditcard. Check the data!
Atalho:
   • visa_data.pif



O email pode ser parecido com um dos seguintes:



 Mailing Pesquisa endereços:
Procura endereços de email nos seguintes ficheiros:
   • ADB; ASP; CFG; CGI; DBX; DHTM; DOC; EML; HTM; HTML; JSP; MBX; MDX;
      MHT; MMF; MSG; NCH; ODS; OFT; PHP; PL; PPT; RTF; SHT; SHTM; STM; TBB;
      TXT; UIN; VBS; WAB; WSH; XLS; XML


Endereços evitados:
Não envia emails para endereços com os seguintes blocos de texto:
   • iruslis; antivir; sophos; freeav; andasoftwa; skynet; messagelabs;
      abuse; fbi; orton; f-pro; aspersky; cafee; orman; itdefender; f-secur;
      avp; spam; ymantec; antivi; icrosoft


Resolver nomes de servidores:
Se o pedido através o DNS standar falhar continua com o seguinte:
Tem a capacidade de contactar os seguintes servidores DNS:
   • 212.7.128.162; 212.7.128.165; 193.193.158.10; 194.25.2.131;
      194.25.2.132; 194.25.2.133; 194.25.2.134; 62.155.255.16;
      212.185.252.73; 212.185.253.70; 212.185.252.136; 194.25.2.129;
      194.25.2.130; 195.20.224.234; 217.5.97.137; 194.25.2.129;
      193.193.144.12; 193.141.40.42; 145.253.2.171; 193.189.244.205;
      213.191.74.19; 151.189.13.35; 195.185.185.195; 212.44.160.8

 Informações diversas Mutex:
Cria o seguinte Mutex:
   • S-k-y-n-e-t--A-n-t-i-v-i-r-u-s-T-e-a-m


Texto:
Além disso tem o seguinte texto:
   • Hey Bagle, feel our revenge!

 Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.


Data de compilação:
Data: 22/04/2003
Hora: 22:44:02

Descrição enviada por Dragos Tomescu em quarta-feira, 27 de julho de 2005
Descrição atualizada por Dragos Tomescu em quarta-feira, 23 de novembro de 2005

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.