VírusWorm/Netsky.T
Data em que surgiu:05/04/2004
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:De baixo a médio
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:18.432 Bytes
MD5 checksum:5e12dace2155beca61c050ad2deb519a
Versão IVDF:6.24.00.86 - segunda-feira, 5 de abril de 2004

 Vulgarmente Meio de transmissão:
   • E-mail


Alias:
   •  Mcafee: W32/Netsky.s
   •  Sophos: W32/Netsky-S
   •  Panda: W32/Netsky.S.worm
   •  Eset: Win32/Netsky.S
   •  Bitdefender: Win32.Netsky.S@mm


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Utiliza o seu próprio motor de E-mail
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localização:
   • %WINDIR%\EasyAV.exe



É criado o seguinte ficheiro:

%WINDIR%\uinmzertinmds.opm Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Netsky.T

 Registry (Registo do Windows) Um dos seguintes valores é adicionado para executar o processo depois reinicializar:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "EasyAV"="%WINDIR%\EasyAV.exe"

 E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:
Utiliza o Messaging Application Programming Interface (MAPI) para enviar e-mails. As características são as seguintes:


De:
O endereço do remetente é falsificado.
O endereço do remetente é a conta do utilizador do Outlook.


Para:
– Endereços de email encontrados em determinados ficheiros no sistema.
– Endereços de e-mail recolhidos do WAB (Windows Address Book).


Assunto:
Um dos seguintes:
   • Hello!; Hi!; Re: Important; Important; Re: My details; My details; Re:
      Your information; Your information; Re: Your details; Your details;
      Re: Your document; Your document; Re: Request; Request; Re: Thanks
      you!; Thank you!; Re: Approved; Approved; Re: Hello; Re: Hi; Hello; Hi


    Às vezes inicia com o seguinte:

Corpo:
– Contém código HTML.
O corpo do email é um dos seguintes:

   • Hello!
     Hi!

   • Note that I have attached your document.
     My %nome do ficheiro de atalho%.
     The %nome do ficheiro de atalho%.
     I have spent much time for the %nome do ficheiro de atalho%.
     I have spent much time for your document.
     Your %nome do ficheiro de atalho%.
     Please notice the attached %nome do ficheiro de atalho%.
     Please notice the attached document.
     Please read quickly.
     For more details see the attached document.
     For more information see the attached document.
     Approved, here is the document.
     I have found the %nome do ficheiro de atalho%.
     My %nome do ficheiro de atalho% is attached.
     Your %nome do ficheiro de atalho% is attached.
     Please, %nome do ficheiro de atalho%.
     Your file is attached to this mail.
     Please read the attached document.
     Please have a look at the attached document.
     See the document for details.
     Here is the document.
     The requested %nome do ficheiro de atalho% is attached!
     I have sent the %nome do ficheiro de atalho%.
     Please see the %nome do ficheiro de atalho%.
     The %nome do ficheiro de atalho% is attached.
     Here is the %nome do ficheiro de atalho%.
     Please have a look at the %nome do ficheiro de atalho%.
     Please read the %nome do ficheiro de atalho%.


Às vezes continua com o seguinte:

   • Yours sincerely
     Thank you
     Thanks


Continuado com um dos seguintes:

   • +++ X-Attachment-Type: document
     +++ X-Attachment-Status: no virus found
     +++ Powered by the new Panda OnlineAntiVirus
     +++ Website: www.pandasoftware.com
     +++ X-Attachment-Type: document
     +++ X-Attachment-Status: no virus found
     +++ Powered by the new MCAfee OnlineAntiVirus
     +++ Homepage: www.mcafee.com
     +++ X-Attachment-Type: document
     +++ X-Attachment-Status: no virus found
     +++ Powered by the new F-Secure OnlineAntiVirus
     +++ Visit us: www.f-secure.com
     +++ X-Attachment-Type: document
     +++ X-Attachment-Status: no virus found
     +++ Powered by the new Norton OnlineAntiVirus
     +++ Free trial: www.norton.com


Atalho:
Os nomes dos ficheiros de atalhos são construídos a partir dos seguintes:

–  Começa por um dos seguintes:
   • abuse_list
   • approved_document
   • archive
   • bill
   • developement
   • diggest
   • excel_document
   • file
   • homepage
   • icq_number
   • information
   • message
   • movie_document
   • notice
   • number_list
   • postcard
   • report
   • story
   • summary
   • word_document

Continuado por um dos seguintes:
   • %número%

    Continua com uma das seguintes extensões falsas:
   • .pif



Exemplos de como o nome do ficheiro de atalho pode parecer:
   • abuse_list4.pif
   • approved_document7.pif
   • bill1.pif
   • developement7.pif
   • file6.pif

O ficheiro de atalho é uma cópia do malware.

 Mailing Pesquisa endereços:
Procura endereços de email nos seguintes ficheiros:
   • .xml; .wsh; .jsp; .msg; .oft; .sht; .dbx; .tbb; .adb; .dhtm; .cgi;
      .shtm; .uin; .rtf; .vbs; .doc; .wab; .asp; .php; .txt; .eml; .html;
      .htm; .pl

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Petre Galan em sexta-feira, 5 de março de 2010
Descrição atualizada por Petre Galan em segunda-feira, 8 de março de 2010

Voltar . . . .