Имя:Worm/NetSky.X
Обнаружен:20/04/2004
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Средний
Потенциал распространения:Средний
Потенциал повреждений:Низкий
Файл статистики:Да
Размер файла:24.064 байт.
Контрольная сумма MD5:E6D771C24E8DBAF9543851E893C3E304
Версия VDF:6.25.00.17

 Общее Метод распространения:
   • Email


Псевдонимы (аliases):
   •  Symantec: W32.Netsky.W@mm
   •  Mcafee: W32/Netsky.w@MM
   •  Kaspersky: Email-Worm.Win32.NetSky.x
   •  TrendMicro: WORM_NETSKY.W
   •  F-Secure: W32/Netsky.W@mm
   •  Grisoft: I-Worm/Netsky.CORRUPTED
   •  VirusBuster: I-Worm.Netsky.O
   •  Bitdefender: Win32.Netsky.X@mm


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает вредоносные файлы
   • Использует собственный почтовый движок
   • Изменение реестра

 Файлы Создается собственная копия:
   • %WINDIR%\VisualGuard.exe



Создается архив со своей собственной копией внутри:
   • %WINDIR%\zipped.tmp



Создаются следующие файлы:

– MIME зашифровала собственную копию:
   • %WINDIR%\zip1.tmp
   • %WINDIR%\zip2.tmp
   • %WINDIR%\zip3.tmp
   • %WINDIR%\zip4.tmp
   • %WINDIR%\zip5.tmp
   • %WINDIR%\zip6.tmp
   • %WINDIR%\base64.tmp

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "NetDy"="%WINDIR%\VisualGuard.exe"



Удаляются значения следующих ключей реестра:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Explorer
   • system
   • msgsvr32
   • service
   • DELETE ME
   • Sentry
   • Taskmon
   • Windows Services Host

–  [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Explorer
   • au.exe
   • d3dupdate.exe
   • OLE
   • gouday.exe
   • rate.exe
   • Taskmon
   • Windows Services Host
   • sysmon.exe
   • srate.exe
   • ssate.exe

–  [HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}]
   • InProcServer32

 Email Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:


От:
Адрес отправителя был фальсифицирован.


Кому:
– В определенных файлах системы были обнаружены электронные адреса.


Тема:
Тема письма составляется следующим образом:

    Иногда имеет в начале следующее:
   • RE:

    Иногда содержит в конце одну из следующих строк:
   • RE:

    Заканчивается следующей строкой:
   • read it immediately
   • important
   • improved
   • patched
   • corrected
   • approved
   • thanks!
   • hello
   • here
   • document_all
   • text
   • message
   • data
   • excel document
   • word document
   • bill
   • screensaver
   • application
   • website
   • product
   • letter
   • information
   • details
   • file
   • document


Тело:
– Содержит HTML код.
Тело письма имеет один из следующих видов:

   • Your details.

   • Your document.

   • I have received your document. The corrected document is attached.

   • I have attached your document.

   • Your document is attached to this mail.

   • Authentication required.

   • Requested file.

   • See the file.

   • Please read the important document.

   • Please confirm the document.

   • Your file is attached.

   • "Please read the document.

   • Your document is attached.

   • Please read the attached file.

   • Please see the attached file for details.


Продолжается одним из следующих:

   • %Имя прикрепленного файла%:No Virus Found
     Powered by the new Norton OnlineScan
     Get protected: www.symantec.com


Прикрепленный файл:
Имя прикрепленного файла образуется следующим образом:

–  Начинается одним из следующих:
   • document_all
   • text
   • message
   • data
   • excel document
   • word document
   • bill
   • screensaver
   • application
   • website
   • product
   • letter
   • information
   • details
   • file
   • document
   • important
   • approved

Иногда содержит в конце одну из следующих строк:
   • _%пользовательская часть электронного адреса получателя%

    Одно из следующих расширений файла:
   • .zip
   • .pif
   • .exe
   • .scr



Пример имён вложенных файлов:
   • text_user.exe
   • excel document.pif



Письмо могло бы выглядеть следующим образом:



 Отправка Поиск адресов:
Проверка следующих файлов на наличие в них электронных адресов:
   • .xml; .wsh; .jsp; .msg; .oft; .sht; .dbx; .tbb; .adb; .dhtm; .cgi;
      .shtm; .uin; .rtf; .vbs; .doc; .wab; .asp; .php; .txt; .eml; .html;
      .htm; .pl

 Разное Мьютекс:
Создается мьютекс:
   • NetDy_Mutex_Psycho


Строка:
Здесь содержатся следующие последовательности:
   • "<*>NetDy: Thanks to the SkyNet alias NetSky crew for the sourcecode."
   • "<*>NetDy: We have rewritten NetSky."
   • "<*>NetDy: Thats a good tactic to detroy the bagle and mydoom worms."
   • "<*>NetDy: Our group will continue the war."
   • "<*>NetDy: Malware writers 'End' comes true."
   • "<*>NetDy: Our Social Engineering is the best *lol* (You have no virus symantec says!)."
   • "<*>NetDy: ----------------------------------------------------------------------------"
   • "<*>NetDy: We are greeting all russia people!"
   • "USA SUCKS!!! AFGHAN SUCKS 2!!! BURN, SADDAM! BURN IN HELL! AND YOU, OSAMA BIN LADEN,"
   • "BURN IN THE DEVILS FIRE 2!!!"
   • "SHAME ON YOU MR. BUSH!!!"
   • "YOURS SINCERELY: H."
   • "---> THIS IS A MESSAGE FROM: Skynet.cz-FANATICON"

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • UPX

Описание добавил Andrei Gherman в(о) пятница, 26 августа 2005 г.
Описание обновил Andrei Ivanes в(о) вторник, 14 марта 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.