Контакт
О компании
Пресса
Бета-тест
Language:
Русский
English
Deutsch
Français
Español
Italiano
Português
Русский
Для дома
Avira Antivirus Premium
Avira Internet Security
Для предприятий
Клиент-сервер
Avira Professional Security
Avira Server Security
Avira Business Security Suite
Avira Endpoint Security
Small Business
Сетевые шлюзы
Avira AntiVir MailGate
Avira MailGate Suite
Avira AntiVir Exchange
Avira AntiVir WebGate
Avira WebGate Suite
Avira AntiVir GateWay Bundle
Avira AntiVir SharePoint
Интеграция
Anti-Malware SDK (SAVAPI)
Antispam SDK (SPACE)
Rebranding и комплектация
Услуги по интеграции
Образовательная Cкидка
Поддержка
Для дома
Обзор
Последние новости
Видеоуроки
База знаний
Для предприятий
Обзор
Последние новости
База знаний
Вирусная лаборатория
Описание вирусов
Статистика
VDF История
Вирусы In the Wild
О вредоносном ПО
Отправить подозрительный файл
Загрузка
Загрузка продуктов
Техническая документация
Жизненный цикл продуктов
Обновление VDF
Партнеры
Поиск партнеров
Стать партнером Avira
Аффилированные партнеры
Бесплатнo
Download
Поиск
Резюме
Полное описание
Статистика
Имя:
Worm/Netsky.HB
Обнаружен:
10/09/2007
Вид:
Червь
В реальных условиях:
Да
Отмеченные факты заражения:
От среднего до высокого
Потенциал распространения:
От среднего до высокого
Потенциал повреждений:
Низкий
Файл статистики:
Нет
Размер файла:
~31.000 байт.
Версия VDF:
6.39.1.107
Версия IVDF:
6.39.01.110
- понедельник, 10 сентября 2007 г.
Общее
Методы распространения:
• Email
• Одноранговая сеть
Псевдонимы (аliases):
• Mcafee: W32/Netsky.p@MM
• Kaspersky: Email-Worm.Win32.NetSky.q
• Grisoft: I-Worm/Netsky.Q
• VirusBuster: I-Worm.Netsky.P!Dam
• Eset: Win32/Netsky.Q
• Bitdefender: Win32.Netsky.P@mm
Операционные системы:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Последствия:
• Создает вредоносные файлы
• Использует собственный почтовый движок
• Изменение реестра
Файлы
Создается собственная копия:
•
%WINDIR%
\FVProtect.exe
Создаются следующие файлы:
– Создается следующий архивный файл с копией вредоносной программы:
•
%WINDIR%
\zipped.tmp
– MIME зашифровала собственную копию:
•
%WINDIR%
\zip1.tmp
•
%WINDIR%
\zip2.tmp
•
%WINDIR%
\zip3.tmp
•
%WINDIR%
\base64.tmp
–
%WINDIR%
\userconfig9x.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: WORM/Netsky.P.2
Реестр
Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• Norton Antivirus AV="
%WINDIR%
\FVProtect.exe"
Удаляются значения следующего ключа реестра:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• Explorer
• system
• msgsvr32
• winupd.exe
• direct.exe
• jijbl
• Video
• service
• DELETE ME
• Sentry
• Taskmon
• Windows Services Host
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• Explorer
• au.exe
• direct.exe
• d3dupdate.exe
• OLE
• gouday.exe
• rate.exe
• Taskmon
• Windows Services Host
• sysmon.exe
• srate.exe
• ssate.exe
• winupd.exe
– [HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]
Email
Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:
От:
Адрес отправителя был фальсифицирован.
Генерированные адреса. Отправитель мог не иметь намерения отправлять это письмо. Он может ничего не знать об инфицировании свой системы. Вы можете получать письма с утверждением об инфицировании Вашей системы.
Кому:
– В определенных файлах системы были обнаружены электронные адреса.
– Сгенерированные адреса
Тема:
Одно из следующих:
• Administrator; approved letter; approved message; Congratulations!; Do
you?; Does it matter?; Error; excel document; Fwd: Warning again;
Hello; hi; I cannot forget you!; I love you!; Illegal Website;
important; Important m$6h?3p; improved; Information; Internet Provider
Abuse; Is that your password?; letter; Mail Account; Mail
Authentication; Mail Delivery (failure); my application; my file; my
text; my website; News; Notice again; Postcard; Private document;
product; Protected Mail System; Re: A!p$ghsa; Re: Administration; Re:
application; Re: approved; Re: approved application; Re: approved
details; Re: Approved document; Re: approved letter; Re: Bad Request;
Re: corrected; Re: data; Re: Delivery Protection; Re: Delivery Server;
Re: details; Re: Developement; Re: Encrypted Mail; Re: Error; Re:
Error in document; Re: excel document; Re: Extended Mail; Re: Extended
Mail System; Re: Failure; Re: Free porn; Re: Hello; Re: here; Re: hi;
Re: important; Re: important excel document; Re: important file; Re:
important product; Re: important website; Re: important word document;
Re: improved; Re: information; Re: Is that your document?; Re: Its me;
Re: List; Re: Mail Authentification; Re: Mail Server; Re: Message; Re:
Message Error; Re: my details; Re: Notify; Re: Old photos; Re: Old
times; Re: Order; Re: patched; Re: Proof of concept; Re: Protected
Mail Delivery; Re: Protected Mail System; Re: Question; Re: Re: bill;
Re: Re: corrected; Re: Re: details; Re: Re: important; Re: Re:
information; Re: Re: read it immediately; Re: Re: thanks!; Re: read it
immediately; Re: Request; Re: Sample; Re: Secure delivery; Re: Secure
SMTP Message; Re: Sex pictures; Re: SMTP Server; Re: Status; Re:
Submit a Virus Sample; Re: Test; Re: text; Re: Thank you for delivery;
Re: thanks!; Re: Virus Sample; Re: website; Re: your bill; Re: Your
document; Re: your excel document; Re: your letter; Shocking document;
Spam; Spamed?; Stolen document; thanks!; word document; You cannot do
that!; Your day;
%случайная
Описание добавил Ana Maria Niculescu в(о) четверг, 25 октября 2007 г.
Описание обновил Ana Maria Niculescu в(о) четверг, 25 октября 2007 г.
Назад
.
.
.
.
