Полное описание

Имя:	Worm/NetSky.#1
Обнаружен:	05/04/2004
Вид:	Червь
В реальных условиях:	Нет
Отмеченные факты заражения:	Низкий
Потенциал распространения:	Средний
Потенциал повреждений:	Низкий
Файл статистики:	Да
Размер файла:	18.432 байт.
Контрольная сумма MD5:	ff05ddc00C74ef41157a2552af455e59
Версия VDF:	6.24.00.87

Общее Метод распространения:
   • Email

Псевдонимы (аliases):
   • Symantec: W32.Netsky.T@mm
   • Mcafee: W32/Netsky.t@MM
   • Kaspersky: Email-Worm.Win32.NetSky.t
   • TrendMicro: WORM_NETSKY.T
   • F-Secure: W32/Netsky.T@mm
   • Sophos: W32/Netsky-T
   • Grisoft: I-Worm/Netsky.T
   • VirusBuster: iworm I-Worm.Netsky.U
   • Bitdefender: Win32.NetSky.T@mm

Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Использует собственный почтовый движок
   • Изменение реестра

Файлы Создается собственная копия:
• %WINDIR%\EasyAV.exe

Создается файл:

– MIME зашифровала собственную копию:
• %WINDIR%\uinmzertinmds.opm

Реестр Добавляется ключ реестра (бесконечный цикл) для повторного запуска процесса после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "EasyAV"="%WINDIR%\EasyAV.exe"

Email Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:

От:
Адрес отправителя был фальсифицирован.

Кому:
– В определенных файлах системы были обнаружены электронные адреса.

Тема:
Тема письма составляется следующим образом:

    Иногда имеет в начале следующее:
   • Re:

    Завершается одним из следующих:
   • Important
   • My details
   • Your information
   • Your details
   • Your document
   • Request
   • Thank you!
   • Approved
   • Hello
   • account
   • postcard
   • sample
   • developement
   • concept
   • story
   • report
   • icq number
   • e-mail
   • phone number
   • personal message
   • photo document
   • order
   • important document
   • diggest
   • final version
   • release
   • answer
   • bill
   • notice
   • requested document
   • description
   • summary
   • picture document
   • movie document
   • approved document
   • old document
   • document
   • mail
   • letter
   • homepage
   • detailed document
   • powerpoint document
   • excel document
   • word document
   • info
   • information
   • text
   • new document
   • textfile
   • user list
   • improved file
   • secound document
   • file
   • number list
   • contact list
   • message
   • note
   • improved document
   • details
   • instructions
   • presentation document
   • abuse list
   • archive
   • corrected document
   • list
   • approved file

Тело:
Тело письма имеет один из следующих видов:

   • Hello!

   • Hi!

Иногда продолжается одним из следующих:

   • Your file is attached to this mail.

   • Please read the attached document.

   • Please have a look at the attached document.

   • See the document for details.

   • Here is the document.

   • Note that I have attached your document.

   • I have spent much time for your document.

   • Please notice the attached document.

   • My %Заменитель символов 1% is attached.

   • Your %Заменитель символов 1% is attached

   • I have found the %Заменитель символов 1%

   • Please notice the attached %Заменитель символов 1%

   • I have spent much time for the %Заменитель символов 1%

   • Please read quickly.

   • For more details see the attached document.

   • For more information see the attached document.

   • Approved, here is the document.

   • The requested %Заменитель символов 1% is attached!

   • I have sent the %Заменитель символов 1%.

   • Please see the %Заменитель символов 1%.

   • The %Заменитель символов 1% is attached.

   • Here is the %Заменитель символов 1%.

   • Please have a look at the %Заменитель символов 1%.

   • Please read the %Заменитель символов 1%.

   • Please, %Заменитель символов 1%.

   • My %Заменитель символов 1%.

   • The %Заменитель символов 1%.

   • Your %Заменитель символов 1%.

Иногда продолжается одним из следующих:

   • Yours sincerely


   • Thank you


   • Thanks

%Заменитель символов 1% распространяется на одну из следующих позиций:
   • account; postcard; sample; developement; concept; story; report; icq
      number; e-mail; phone number; personal message; photo document; order;
      important document; diggest; final version; release; answer; bill;
      notice; requested document; description; summary; picture document;
      movie document; approved document; old document; document; mail;
      letter; homepage; detailed document; powerpoint document; excel
      document; word document; info; information; text; new document;
      textfile; user list; improved file; secound document; file; number
      list; contact list; message; note; improved document; details;
      instructions; presentation document; abuse list; archive; corrected
      document; list; approved file; report

Прикрепленный файл:
Одно из следующих имен прикрепленного файла:
   • account%Число%.pif; postcard%Число%.pif;
      sample%Число%.pif; developement%Число%.pif;
      concept%Число%.pif; story%Число%.pif;
      report%Число%.pif; icq_number%Число%.pif;
      e-mail%Число%.pif; phone number%Число%.pif;
      personal_message%Число%.pif;
      photo_document%Число%.pif; order%Число%.pif;
      important_document%Число%.pif;
      diggest%Число%.pif; final_version%Число%.pif;
      release%Число%.pif; answer%Число%.pif;
      bill%Число%.pif; notice%Число%.pif;
      requested_document%Число%.pif;
      description%Число%.pif; summary%Число%.pif;
      picture_document%Число%.pif;
      movie_document%Число%.pif;
      approved_document%Число%.pif;
      old_document%Число%.pif; document%Число%.pif;
      mail%Число%.pif; letter%Число%.pif;
      homepage%Число%.pif;
      detailed_document%Число%.pif;
      powerpoint_document%Число%.pif;
      excel_document%Число%.pif;
      word_document%Число%.pif; info%Число%.pif;
      information%Число%.pif; text%Число%.pif;
      new_document%Число%.pif; textfile%Число%.pif;
      user_list%Число%.pif;
      improved_file%Число%.pif;
      secound_document%Число%.pif; file%Число%.pif;
      number_list%Число%.pif;
      contact_list%Число%.pif; message%Число%.pif;
      note%Число%.pif; improved_document%Число%.pif;
      details%Число%.pif; instructions%Число%.pif;
      presentation_document%Число%.pif;
      abuse_list.%Число%.pif; archive%Число%.pif;
      corrected_document%Число%.pif;
      list%Число%.pif; approved_file%Число%.pif

Прикрепленный файл является копией вредоносной программы:

Отправка Поиск адресов:
Проверка следующих файлов на наличие в них электронных адресов:
   • ppt; nch; mmf; mht; xml; wsh; jsp; xls; stm; ods; msg; oft; sht; html;
      htm; pl; dbx; tbb; adb; dhtm; cgi; shtm; uin; rtf; vbs; doc; wab; asp;
      mdx; mbx; cfg; php; txt; eml

Backdoor Открывается порт:

– %выполненный файл% по TCP порту 6789

DoS 14/04/2004 до 17/04/2004 запускаются DoS атаки против следующеих целей:
   • www.keygen.us
   • www.freemule.net
   • www.kazaa.com
   • www.emule.de
   • www.cracks.am

Разное Мьютекс:
Создаются мьютексы:
   • SyncMutex_USUkUyUnUeUtU
   • Protect_USUkUyUnUeUtU_Mutex

Строка:
Здесь содержится следующая последовательность:
   • Now we have programmed our backdoor, it cannot be used for spam relaying, only for Skynet distribution, our advice: educate the users or update the smtp protocol, and heuristics cannot detect Skynet, becauses numerous scambler, compressors, and protectors exists including programming new features. Thanks to russia, and thanks to CCC for support. 09:34 A.M, Russia

Данные файла Язык программирования:
Программа была написана на MS Visual C++.

Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
• UPX

Описание добавил Ionut Slaveanu в(о) четверг, 4 мая 2006 г.
Описание обновил Cosmin Ancuta в(о) пятница, 5 мая 2006 г.

Назад . . . .