VírusWorm/Netsky.S.1
Data em que surgiu:31/03/2004
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:De baixo a médio
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:20.624 Bytes
MD5 checksum:5bbb322a70a6a248369f45ece8d9e79b
Versão IVDF:6.24.00.78 - quarta-feira, 31 de março de 2004

 Vulgarmente Meio de transmissão:
   • E-mail


Alias:
   •  Mcafee: W32/Netsky.r
   •  Sophos: W32/Netsky-R
   •  Panda: W32/Netsky.R.worm
   •  Eset: Win32/Netsky.P
   •  Bitdefender: Win32.Netsky.R@mm


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Utiliza o seu próprio motor de E-mail
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localização:
   • %WINDIR%\pandaavengine.exe



São criados os seguintes ficheiros:

%WINDIR%\uinmzertinmds.opm Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Netsky.R

%WINDIR%\temp09094283.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Netsky.S.2

 Registry (Registo do Windows) Um dos seguintes valores é adicionado para executar o processo depois reinicializar:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "PandaAVEngine"="%WINDIR%\PandaAVEngine.exe"

 E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:
Utiliza o Messaging Application Programming Interface (MAPI) para enviar e-mails. As características são as seguintes:


Para:
– Endereços de email encontrados em determinados ficheiros no sistema.
– Endereços de e-mail recolhidos do WAB (Windows Address Book).
O assunto do e-mail é feito a partir do seguinte:

    Começa por um dos seguintes:
   • Re:

    Continuado por um dos seguintes:
   • Document

    Continuado por um dos seguintes:
   • %número%


Corpo:
– Contém código HTML.
O corpo do email é um dos seguintes:

   • Your document is attached.


Continua com o seguinte:

   • No virus found
     Powered by the new Norton OnlineScan
     Get protected:


Atalho:

–  Começa por um dos seguintes:
   • Document

Continuado por um dos seguintes:
   • %número%

    Continua com uma das seguintes extensões falsas:
   • .pif

O ficheiro de atalho é uma cópia do malware.

 Mailing Pesquisa endereços:
Procura endereços de email nos seguintes ficheiros:
   • .xml; .wsh; .jsp; .msg; .oft; .sht; .dbx; .tbb; .adb; .dhtm; .cgi;
      .shtm; .uin; .rtf; .vbs; .doc; .wab; .asp; .php; .txt; .eml; .html;
      .htm; .pl

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Petre Galan em sexta-feira, 5 de março de 2010
Descrição atualizada por Petre Galan em sexta-feira, 5 de março de 2010

Voltar . . . .