Полное описание

Имя:	Worm/NetSky.B.1
Обнаружен:	18/02/2004
Вид:	Червь
В реальных условиях:	Да
Отмеченные факты заражения:	Средний
Потенциал распространения:	От среднего до высокого
Потенциал повреждений:	Низкий
Файл статистики:	Да
Размер файла:	22.016 байт.
Контрольная сумма MD5:	D4A3677976B656AEC6AFCF2E03459A8D
Версия VDF:	6.24.0.9

Общее Методы распространения:
   • Email
   • Одноранговая сеть

Псевдонимы (аliases):
   • Symantec: W32.Netsky.B@mm
   • Mcafee: W32/Netsky.b@MM
   • Kaspersky: Email-Worm.Win32.NetSky.b
   • TrendMicro: WORM_NETSKY.B
   • F-Secure: W32/Netsky.B@mm
   • Grisoft: I-Worm/Netsky.B
   • VirusBuster: I-Worm/Netsky.B
   • Bitdefender: Win32.Netsky.B@mm

Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Создает вредоносные файлы
   • Использует собственный почтовый движок
   • Изменение реестра

После запуска выдается следующая информация:

Файлы Создается собственная копия:
   • %WINDIR%\services.exe

Создаются архивы со своими копиями внутри:
   • %WINDIR%\misc.zip
   • %WINDIR%\party.zip
   • %WINDIR%\disco.zip
   • %WINDIR%\part2.zip
   • %WINDIR%\mail2.zip
   • %WINDIR%\object.zip
   • %WINDIR%\ranking.zip
   • %WINDIR%\dinner.zip
   • %WINDIR%\release.zip
   • %WINDIR%\final.zip
   • %WINDIR%\location.zip
   • %WINDIR%\jokes.zip
   • %WINDIR%\friend.zip
   • %WINDIR%\website.zip
   • %WINDIR%\mails.zip
   • %WINDIR%\story.zip
   • %WINDIR%\found.zip
   • %WINDIR%\nomoney.zip
   • %WINDIR%\aboutyou.zip
   • %WINDIR%\shower.zip
   • %WINDIR%\topseller.zip
   • %WINDIR%\product.zip
   • %WINDIR%\swimmingpool.zip
   • %WINDIR%\bill.zip
   • %WINDIR%\note.zip
   • %WINDIR%\concert.zip
   • %WINDIR%\textfile.zip
   • %WINDIR%\posting.zip
   • %WINDIR%\stuff.zip
   • %WINDIR%\attachment.zip
   • %WINDIR%\details.zip
   • %WINDIR%\creditcard.zip
   • %WINDIR%\message.zip
   • %WINDIR%\talk.zip
   • %WINDIR%\doc.zip
   • %WINDIR%\msg.zip
   • %WINDIR%\document.zip
   • %WINDIR%\unknown.zip
   • %WINDIR%\fake.zip
   • %WINDIR%\stolen.zip
   • %WINDIR%\information.zip
   • %WINDIR%\warning.zip

Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "service"="%WINDIR%\services.exe -serv"

Удаляются значения следующих ключей реестра:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Taskmon
   • system
   • KasperskyAv
   • Explorer

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • system

– [HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}]
   • InProcServer32

– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Taskmon
   • Explorer

Email Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:

От:
Адрес отправителя был фальсифицирован.

Кому:
– В определенных файлах системы были обнаружены электронные адреса.

Тема:
Одно из следующих:
   • unknown
   • fake
   • stolen
   • information
   • warning
   • something for you
   • read it immediately
   • hello
   • hi

Тело:
Тело письма имеет один из следующих видов:
   • something is fool
   • something is going wrong
   • you are bad
   • you try to steal
   • you feel the same
   • you earn money
   • thats wrong
   • why?
   • take it easy
   • reply
   • do you?
   • that's funny
   • here, the cheats
   • here, the introduction
   • here, the serials
   • from the chatter
   • about me
   • information about you
   • something is going wrong!
   • stuff about you?
   • greetings
   • see you
   • here it is
   • that is bad
   • yes, really?
   • i found this document about you
   • your name is wrong
   • i hope it is not true!
   • kill the writer of this document!
   • something about you!
   • I have your password!
   • you are a bad writer
   • is that from you?
   • i wait for a reply!
   • is that your account?
   • is that your name?
   • is that true?
   • here
   • my hero
   • read it immediately!
   • here is the document.
   • read the details.
   • i'm waiting
   • what does it mean?
   • anything ok?

Прикрепленный файл:
Имена прикрепелнных файлов образуются следующим образом:

– Начинается одним из следующих:
   • aboutyou
   • attachment
   • bill
   • concert
   • creditcard
   • details
   • dinner
   • disco
   • doc
   • document
   • final
   • found
   • friend
   • information
   • jokes
   • location
   • mail2
   • mails
   • me
   • message
   • misc
   • msg
   • nomoney
   • note
   • object
   • part2
   • party
   • posting
   • product
   • ps
   • ranking
   • release
   • shower
   • story
   • stuff
   • swimmingpool
   • talk
   • textfile
   • topseller
   • website

    Иногда имеет одно из следующих фальшивых расширений файла:
   • .doc
   • .htm
   • .rtf
   • .txt

    Одно из следующих расширений файла:
   • .com
   • .exe
   • .pif
   • .scr
   • .zip

Пример имён вложенных файлов:
   • posting.txt.com
   • concert.zip
   • creditcard.pif

Прикрепленный файл является копией вредоносной программы:

Письмо могло бы выглядеть следующим образом:

Отправка Поиск адресов:
Проверка следующих файлов на наличие в них электронных адресов:
   • .msg; .oft; .sht; .dbx; .tbb; .adb; .doc; .wab; .asp; .uin; .rtf;
      .vbs; .html; .htm; .pl; .php; .txt; .eml

MX Server:
При неудавшемся запросе стандартного MX производится обращение к следующему.
Обладает способностью связаться со следующим MX сервером:
   • 217.5.100.1

P2P Предпринимаемые для инфицирования других систем в одноранговой сети действия:   Производится поиск содержащих одну из следующих последовательностей знаков папок
   • "share"
   • "sharing"

   При успешном завершении поиска создаются следующие файлы:
   • doom2.doc.pif; sex sex sex sex.doc.exe; rfc compilation.doc.exe;
      dictionary.doc.exe; win longhorn.doc.exe; e.book.doc.exe; programming
      basics.doc.exe; how to hack.doc.exe; max payne 2.crack.exe;
      e-book.archive.doc.exe; virii.scr; nero.7.exe; eminem - lick my
      pussy.mp3.pif; cool screensaver.scr; serial.txt.exe; office_crack.exe;
      hardcore porn.jpg.exe; angels.pif; porno.scr; matrix.scr; photoshop 9
      crack.exe; strippoker.exe; dolly_buster.jpg.pif; winxp_crack.exe

Разное Мьютекс:
Создается мьютекс:
• AdmSkynetJklS003

Данные файла Язык программирования:
Программа была написана на MS Visual C++.

Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
• UPX

Описание добавил Andrei Gherman в(о) понедельник, 29 августа 2005 г.
Описание обновил Andrei Gherman в(о) среда, 31 августа 2005 г.

Назад . . . .