Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:27.648 Bytes
MD5 checksum:301b39b3e6aafb7cae5a9d84e1c78cf6

 Vulgarmente Meio de transmissão:
   • E-mail


Alias:
   •  Mcafee: W32/Netsky.k
   •  Sophos: W32/Netsky-K
   •  Panda: W32/Netsky.K.worm
   •  Eset: Win32/Netsky.K
   •  Bitdefender: Win32.Generic.495186


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Utiliza o seu próprio motor de E-mail
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localização:
   • %WINDIR%\avpguard.exe

 Registry (Registo do Windows) Um dos seguintes valores é adicionado para executar o processo depois reinicializar:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "My AV"="%WINDIR%\avpguard.exe -av serv"

 E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:
Utiliza o Messaging Application Programming Interface (MAPI) para enviar e-mails. As características são as seguintes:


De:
O endereço do remetente é falsificado.


Para:
– Endereços de email encontrados em determinados ficheiros no sistema.
– Endereços de e-mail recolhidos do WAB (Windows Address Book).


Assunto:
Um dos seguintes:
   • Hi % nome de utilizador do endereço de e-mail do
      destinatário%, your product; Hello % nome de utilizador do
      endereço de e-mail do destinatário%, your letter; Re: Hi %
      nome de utilizador do endereço de e-mail do destinatário%, your
      archive; Re: % nome de utilizador do endereço de e-mail do
      destinatário%, your text; Re: Hello % nome de utilizador do
      endereço de e-mail do destinatário%, your bill; Re: Hi % nome
      de utilizador do endereço de e-mail do destinatário%, your
      details; Re: Hello % nome de utilizador do endereço de e-mail do
      destinatário%, my details; Re: Hi % nome de utilizador do
      endereço de e-mail do destinatário%, your word file; Re: Hello
      % nome de utilizador do endereço de e-mail do destinatário%,
      your excel file; Re: Hi % nome de utilizador do endereço de e-mail
      do destinatário%, details; Re: Hello % nome de utilizador do
      endereço de e-mail do destinatário%, Approved; Re: Hello %
      nome de utilizador do endereço de e-mail do destinatário%, your
      software; Re: Hi % nome de utilizador do endereço de e-mail do
      destinatário%, your music; Re: Dear % nome de utilizador do
      endereço de e-mail do destinatário%, Here; Re: Re: Re: Hello
      % nome de utilizador do endereço de e-mail do destinatário%,
      your document; Re: Hi % nome de utilizador do endereço de e-mail
      do destinatário%; Re: Dear % nome de utilizador do endereço
      de e-mail do destinatário%, Hi; Re: Re: Hi % nome de
      utilizador do endereço de e-mail do destinatário%, your
      message; Re: Here % nome de utilizador do endereço de e-mail do
      destinatário%, your picture; Re: Hi % nome de utilizador do
      endereço de e-mail do destinatário%, here is the document; Re:
      Hello % nome de utilizador do endereço de e-mail do
      destinatário%, your document; Re: % nome de utilizador do
      endereço de e-mail do destinatário%, thanks!; Re: Re: % nome
      de utilizador do endereço de e-mail do destinatário%, thanks!;
      Re: Re: Hi % nome de utilizador do endereço de e-mail do
      destinatário%, document; Re: Hello % nome de utilizador do
      endereço de e-mail do destinatário%, document;
      www..freepage.com, your website; Na % nome de utilizador do
      endereço de e-mail do destinatário%; Best % nome de
      utilizador do endereço de e-mail do destinatário%; Love %
      nome de utilizador do endereço de e-mail do destinatário%; Good
      morning % nome de utilizador do endereço de e-mail do
      destinatário%; Have a good day % nome de utilizador do
      endereço de e-mail do destinatário%; Dear % nome de
      utilizador do endereço de e-mail do destinatário%; To % nome
      de utilizador do endereço de e-mail do destinatário% , it's me;
      Welcome % nome de utilizador do endereço de e-mail do
      destinatário%; Moin % nome de utilizador do endereço de
      e-mail do destinatário%; Hello % nome de utilizador do
      endereço de e-mail do destinatário%; Your account % nome de
      utilizador do endereço de e-mail do destinatário% is expired!;
      Hey % nome de utilizador do endereço de e-mail do
      destinatário%; Hi % nome de utilizador do endereço de e-mail
      do destinatário%; Hi Mr. % nome de utilizador do endereço de
      e-mail do destinatário%; Moi % nome de utilizador do endereço
      de e-mail do destinatário%; He % nome de utilizador do
      endereço de e-mail do destinatário%; Yours faithfully, % nome
      de utilizador do endereço de e-mail do destinatário%; Message to
      % nome de utilizador do endereço de e-mail do destinatário%;
      Hi Mrs. % nome de utilizador do endereço de e-mail do
      destinatário%; Is % nome de utilizador do endereço de e-mail
      do destinatário%.doc yours?; Is % nome de utilizador do
      endereço de e-mail do destinatário%.xls yours?; Whats up %
      nome de utilizador do endereço de e-mail do destinatário%; Hi;
      Your product; Your letter; Re: corrected homework; Re: I've found your
      document; Re: Your bill; Re: hello again; Re: hi again; Re: part 3;
      Re: important document part 2; Re: important; Re: Your data; Re: Your
      application; Re: your music; Re: excel document; Re: Re: Re: word
      document; Re: Your details; Re: My details; Re: Your requested file;
      Re: Read it immediately; Re: Approved; Re: Your software; Re: my
      memberlist; Re: Your document; Re: Your file; Re: Your important
      document

O corpo do email tem uma das seguintes linhas:
   • My details are in the attached file.
   • I have corrected your document.
   • Please do not forget to read the important document.
   • I have an interesting document about you.
   • The sample is attached.
   • Your personal document is attached.
   • Your file is attached to this mail.
   • Note that I have attached your file.
   • The important document is attached.
   • Please read the document. It's important.
   • Your document is attached to this mail.
   • See the attachment for further details.
   • Your file is attached. Use this password for the file: .
   • Please read the attached file. Password for the file is .
   • Please have a look at the attached file. Password for decrypting is .
   • See the attached file for details. Password is .
   • Here is the file. My password is .
   • Your document is attached. Your password is .


Atalho:
O ficheiro de atalho tem um dos seguintes nomes:
   • website_.pif; your_product_.pif; letter_.pif;
      archive.pif; your_text.pif; bill_.pif;
      your_details.pif; _details.pif;
      _document_word.pif; _document_excel.pif;
      _my_details.pif; _all_document.pif;
      _application.pif; mp3music_.pif; yours.pif;
      document_4351.pif; _picture.pif; _file.pif;
      _message_details.pif; yourpicture.pif;
      _document_full.pif; _your_message_part2.pif;
      information.pif; document.pif; _your_document.pif

O ficheiro de atalho é uma cópia do malware.

 Mailing Pesquisa endereços:
Procura endereços de email nos seguintes ficheiros:
   • .xml; .wsh; .jsp; .dhtm; .cgi; .shtm; .msg; .oft; .sht; .dbx; .tbb;
      .adb; .doc; .wab; .asp; .uin; .rtf; .vbs; .html; .htm; .pl; .php;
      .txt; .eml

 Informações diversas Texto:
Além disso contém os seguintes blocos de texto:
   • Please remove the file avpguard.exe from your Windows-Directory and do not open attachments anymore. It can be a virus like bagle and mydoom or similar malicios code. This is the Skynet-Antivirus!
   • SkyNet has the full control of your system now

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Petre Galan em sexta-feira, 5 de março de 2010
Descrição atualizada por Petre Galan em segunda-feira, 8 de março de 2010

Voltar . . . .