VírusWorm/Netsky.O.2
Data em que surgiu:16/04/2004
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:De baixo a médio
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:24.064 Bytes
MD5 checksum:e6d771c24e8dbaf9543851e893c3e304
Versão IVDF:6.25.00.16 - sexta-feira, 16 de abril de 2004

 Vulgarmente Meio de transmissão:
   • E-mail


Alias:
   •  Mcafee: W32/Netsky.w
   •  Sophos: W32/Netsky-N
   •  Panda: W32/Netsky.W.worm
   •  Eset: Win32/Netsky.N
   •  Bitdefender: Win32.NetSky.X@mm


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Utiliza o seu próprio motor de E-mail
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localização:
   • %WINDIR%\VisualGuard.exe



São criados os seguintes ficheiros:

%WINDIR%\zip1.tmp
%WINDIR%\zip4.tmp
%WINDIR%\base64.tmp
%WINDIR%\zip3.tmp
%WINDIR%\zip5.tmp Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Netsky.W.1

%WINDIR%\zipped.tmp Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Netsky.X

%WINDIR%\zip2.tmp
%WINDIR%\zip6.tmp

 Registry (Registo do Windows) Um dos seguintes valores é adicionado para executar o processo depois reinicializar:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "NetDy"="%WINDIR%\VisualGuard.exe"



Os valores das seguintes chaves registo do windows são eliminados:

–  [HKLM\SOFTWARE\Classes\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\
   InProcServer32]
   • "@"
   • "ThreadingModel"

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "d3dupdate.exe"
   • "Explorer"
   • "Taskmon"
   • "Windows Services Host"
   • "au.exe"
   • "sysmon.exe"
   • "ssate.exe"
   • "gouday.exe"
   • "rate.exe"
   • "srate.exe"
   • "OLE"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Explorer"
   • "service"
   • "system."
   • "Taskmon"
   • "Sentry"
   • "Windows Services Host"
   • "DELETE ME"
   • "msgsvr32"

 E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:
Utiliza o Messaging Application Programming Interface (MAPI) para enviar e-mails. As características são as seguintes:


De:
O endereço do remetente é falsificado.
O endereço do remetente é a conta do utilizador do Outlook.


Para:
– Endereços de email encontrados em determinados ficheiros no sistema.
– Endereços de e-mail recolhidos do WAB (Windows Address Book).
O assunto do e-mail é feito a partir do seguinte:

    Começa por um dos seguintes:
   • Re:

    Por vezes continuado por um dos seguintes:
   • Re:

    Continuado por um dos seguintes:
   • read it immediately
   • important
   • improved
   • patched
   • corrected
   • approved
   • thanks!
   • hello
   • hi
   • here
   • document_all
   • text
   • message
   • data
   • excel document
   • word document
   • bill
   • screensaver
   • application
   • website
   • product
   • letter
   • information
   • details
   • file
   • document
   • important
   • approved
   • my
   • your


Corpo:
– Contém código HTML.
O corpo do email é um dos seguintes:

   • Your details.
     Your document.
     I have received your document. The corrected document is attached.
     I have attached your document.
     Your document is attached to this mail.
     Authentication required.
     Requested file.
     See the file.
     Please read the important document.
     Please confirm the document.
     Your file is attached.
     Please read the document.
     Your document is attached.
     Please read the attached file.
     Please see the attached file for details.


Continua com o seguinte:

   • %nome do ficheiro de atalho%: No virus found
     Powered by the new Norton OnlineScan
     Get protected: www.symantec.com


Atalho:
Os nomes dos ficheiros de atalhos são construídos a partir dos seguintes:

–  Começa por um dos seguintes:
   • important
   • improved
   • patched
   • corrected
   • approved
   • thanks!
   • hello
   • hi
   • here
   • document_all
   • text
   • message
   • data
   • excel document
   • word document
   • bill
   • screensaver
   • application
   • website
   • product
   • letter
   • information
   • details
   • file
   • document
   • important
   • approved
   • my
   • your

    Continua com uma das seguintes extensões falsas:
   • .zip
   • .pif
   • .exe
   • .scr



Exemplos de como o nome do ficheiro de atalho pode parecer:
   • application.pif
   • application.scr
   • data.exe
   • details.zip
   • document.exe
   • document_all.scr
   • document_all_infoservice.pif
   • excel document.zip
   • file.pif
   • information_hot-line.zip
   • message.zip
   • product.pif
   • screensaver.scr
   • website_mts.zip

O ficheiro de atalho é uma cópia do malware.

 Mailing Pesquisa endereços:
Procura endereços de email nos seguintes ficheiros:
   • .xml; .wsh; .jsp; .msg; .oft; .sht; .dbx; .tbb; .adb; .dhtm; .cgi;
      .shtm; .uin; .rtf; .vbs; .doc; .wab; .asp; .php; .txt; .eml; .html;
      .htm; .pl

 Informações diversas Texto:
Além disso contém os seguintes blocos de texto:
   • <*>NetDy: Thanks to the SkyNet alias NetSky crew for the sourcecode.
   • <*>NetDy: We have rewritten NetSky.
   • <*>NetDy: Thats a good tactic to detroy the bagle and mydoom worms.
   • <*>NetDy: Our group will continue the war.
   • <*>NetDy: Malware writers 'End' comes true.
   • <*>NetDy: Our Social Engineering is the best *lol* (You have no virus symantec says!).
   • <*>NetDy: ----------------------------------------------------------------------------
   • <*>NetDy: We are greeting all russia people!

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Petre Galan em sexta-feira, 5 de março de 2010
Descrição atualizada por Petre Galan em segunda-feira, 8 de março de 2010

Voltar . . . .