Имя:Worm/Netsky.D.Dam
Обнаружен:01/03/2004
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:От среднего до высокого
Потенциал распространения:Средний
Потенциал повреждений:Низкий
Файл статистики:Да
Размер файла:17.424 байт.
Контрольная сумма MD5:6f49434d7e4532520372a4721a7a9aec
Версия VDF:6.24.00.29

 Общее Метод распространения:
   • Email


Псевдонимы (аliases):
   •  Symantec: W32.Netsky.D@mm
   •  Mcafee: W32/Netsky.d@MM
   •  Kaspersky: Email-Worm.Win32.NetSky.d
   •  TrendMicro: WORM_NETSKY.DAM
   •  F-Secure: W32/Netsky.D@mm non-working
   •  Sophos: W32/NetskyD-Dam
   •  Grisoft: I-Worm/Netsky
   •  VirusBuster: I-Worm.Netsky.D3
   •  Eset: Win32/Netsky.D
   •  Bitdefender: Win32.Netsky.D@mm


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP


Последствия:
   • Использует собственный почтовый движок
   • Снижает уровень настроек безопасности
   • Изменение реестра

 Файлы Создается собственная копия:
   • %WINDIR%\winlogon.exe

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "ICQ Net"=%WINDIR%\winlogon.exe -stealth"



Удаляются значения следующих ключей реестра:

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • DELETE ME
   • Explorer
   • KasperskyAv
   • msgsvr32
   • Sentry
   • service
   • system.
   • Taskmon
   • Windows Services Host

–  HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • au.exe
   • d3dupdate.exe
   • Explorer
   • KasperskyAv
   • OLE
   • Taskmon
   • Windows Services Host



Удаляются все значения следующих ключей реестра и их подключей:
   • HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
   • HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\PINF
   • HKLM\System\CurrentControlSet\Services\WksPatch

 Email Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:


От:
Адрес отправителя был фальсифицирован.


Кому:
– В определенных файлах системы были обнаружены электронные адреса.


Тема:
Одно из следующих:
   • Re: Approved; Re: Details; Re: Document; Re: Excel file; Re: Hello;
      Re: Here; Re: Here is the document; Re: Hi; Re: My details; Re: Re:
      Document; Re: Re: Message; Re: Re: Re: Your document; Re: Re: Thanks!;
      Re: Thanks!; Re: Word file; Re: Your archive; Re: Your bill; Re: Your
      details; Re: Your document; Re: Your letter; Re: Your music; Re: Your
      picture; Re: Your product; Re: Your software; Re: Your text; Re: Your
      website



Тело:
Тело письма имеет один из следующих видов:
   • Your file is attached.
   • Please read the attached file.
   • Please have a look at the attached file.
   • See the attached file for details.
   • Here is the file.
   • Your document is attached.


Прикрепленный файл:
Одно из следующих имен прикрепленного файла:
   • all_document.pif; application.pif; document.pif; document_4351.pif;
      document_excel.pif; document_full.pif; document_word.pif;
      message_details.pif; message_part2.pif; mp3music.pif; my_details.pif;
      your_archive.pif; your_bill.pif; your_details.pif; your_document.pif;
      your_file.pif; your_letter.pif; your_picture.pif; your_product.pif;
      your_text.pif; your_website.pif; yours.pif

Прикрепленный файл является копией вредоносной программы:



Письмо выглядит следующим образом:


 Отправка Поиск адресов:
Проверка следующих файлов на наличие в них электронных адресов:
   • .adb; .asp; .cgi; .dbx; .dhtm; .doc; .eml; .htm; .html; .msg; .oft;
      .php; .pl; .rtf; .sht; .shtm; .tbb; .txt; .uin; .vbs; .wab


Избегает обращение по адресу:
Не отправляются письма на адреса с одной из следующих последовательностей символов:
   • abuse; antivi; aspersky; avp; cafee; fbi; f-pro; f-secur; icrosoft;
      itdefender; messagelabs; orman; orton; skynet; spam; ymantec


Связывается с DNS:
В случае неудачи выполнения запроса со стандартным DNS выполняется попытка подключения к следующему.
Имеется возможность связаться со следующими DNS серверами:
   • 145.253.2.171; 151.189.13.35; 193.141.40.42; 193.189.244.205;
      193.193.144.12; 193.193.158.10; 194.25.2.129; 194.25.2.130;
      194.25.2.131; 194.25.2.132; 194.25.2.133; 194.25.2.134;
      195.185.185.195; 195.20.224.234; 212.185.252.136; 212.185.252.73;
      212.185.253.70; 212.44.160.8; 212.7.128.162; 212.7.128.165;
      213.191.74.19; 217.5.97.137; 62.155.255.16

 Разное Мьютекс:
Создается мьютекс:
   • [SkyNet.cz]SystemsMutex


Строка:
Здесь содержится следующая последовательность:
   • "be aware! Skynet.cz - -->AntiHacker Crew<--"

Описание добавил Irina Boldea в(о) вторник, 30 августа 2005 г.
Описание обновил Irina Boldea в(о) четверг, 1 сентября 2005 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.