Имя:Worm/Netsky.O.2
Обнаружен:16/04/2004
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:От низкого до среднего
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:24.064 байт.
Контрольная сумма MD5:e6d771c24e8dbaf9543851e893c3e304
Версия IVDF:6.25.00.16 - пятница, 16 апреля 2004 г.

 Общее Метод распространения:
   • Email


Псевдонимы (аliases):
   •  Mcafee: W32/Netsky.w
   •  Sophos: W32/Netsky-N
   •  Panda: W32/Netsky.W.worm
   •  Eset: Win32/Netsky.N
   •  Bitdefender: Win32.NetSky.X@mm


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает вредоносные файлы
   • Использует собственный почтовый движок
   • Изменение реестра

 Файлы Создается собственная копия:
   • %WINDIR%\VisualGuard.exe



Создаются следующие файлы:

%WINDIR%\zip1.tmp
%WINDIR%\zip4.tmp
%WINDIR%\base64.tmp
%WINDIR%\zip3.tmp
%WINDIR%\zip5.tmp Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: Worm/Netsky.W.1

%WINDIR%\zipped.tmp Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: Worm/Netsky.X

%WINDIR%\zip2.tmp
%WINDIR%\zip6.tmp

 Реестр Для повторного запуска процесса после перезагрузки системы одно из следующих значений добавляется к ключу реестра.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "NetDy"="%WINDIR%\VisualGuard.exe"



Удаляются значения следующих ключей реестра:

–  [HKLM\SOFTWARE\Classes\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\
   InProcServer32]
   • "@"
   • "ThreadingModel"

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "d3dupdate.exe"
   • "Explorer"
   • "Taskmon"
   • "Windows Services Host"
   • "au.exe"
   • "sysmon.exe"
   • "ssate.exe"
   • "gouday.exe"
   • "rate.exe"
   • "srate.exe"
   • "OLE"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Explorer"
   • "service"
   • "system."
   • "Taskmon"
   • "Sentry"
   • "Windows Services Host"
   • "DELETE ME"
   • "msgsvr32"

 Email Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:
Вредоносная программа отправляет почту с помощью MAPI интерфейса. Устанавливается прямое соединение с сервером. Подробности приведены ниже:


От:
Адрес отправителя был фальсифицирован.
Адрес отправителя - учетная запись пользователя Outlook


Кому:
– В определенных файлах системы были обнаружены электронные адреса.
– Полученные из WAB (адресная книга Windows) адреса электронной почты
Тема письма составляется следующим образом:

    Начинается одним из следующих:
   • Re:

    Иногда содержит в конце одну из следующих строк:
   • Re:

    Заканчивается следующей строкой:
   • read it immediately
   • important
   • improved
   • patched
   • corrected
   • approved
   • thanks!
   • hello
   • hi
   • here
   • document_all
   • text
   • message
   • data
   • excel document
   • word document
   • bill
   • screensaver
   • application
   • website
   • product
   • letter
   • information
   • details
   • file
   • document
   • important
   • approved
   • my
   • your


Тело:
– Содержит HTML код.
Тело письма имеет один из следующих видов:

   • Your details.
     Your document.
     I have received your document. The corrected document is attached.
     I have attached your document.
     Your document is attached to this mail.
     Authentication required.
     Requested file.
     See the file.
     Please read the important document.
     Please confirm the document.
     Your file is attached.
     Please read the document.
     Your document is attached.
     Please read the attached file.
     Please see the attached file for details.


Продолжается одним из следующих:

   • %Имя прикрепленного файла%: No virus found
     Powered by the new Norton OnlineScan
     Get protected: www.symantec.com


Прикрепленный файл:
Имена прикрепелнных файлов образуются следующим образом:

–  Начинается одним из следующих:
   • important
   • improved
   • patched
   • corrected
   • approved
   • thanks!
   • hello
   • hi
   • here
   • document_all
   • text
   • message
   • data
   • excel document
   • word document
   • bill
   • screensaver
   • application
   • website
   • product
   • letter
   • information
   • details
   • file
   • document
   • important
   • approved
   • my
   • your

    Имеет одно из следующих фальшивых расширений файлов:
   • .zip
   • .pif
   • .exe
   • .scr



Пример имён вложенных файлов:
   • application.pif
   • application.scr
   • data.exe
   • details.zip
   • document.exe
   • document_all.scr
   • document_all_infoservice.pif
   • excel document.zip
   • file.pif
   • information_hot-line.zip
   • message.zip
   • product.pif
   • screensaver.scr
   • website_mts.zip

Прикрепленный файл является копией вредоносной программы:

 Отправка Поиск адресов:
Проверка следующих файлов на наличие в них электронных адресов:
   • .xml; .wsh; .jsp; .msg; .oft; .sht; .dbx; .tbb; .adb; .dhtm; .cgi;
      .shtm; .uin; .rtf; .vbs; .doc; .wab; .asp; .php; .txt; .eml; .html;
      .htm; .pl

 Разное Строка:
Здесь содержатся следующие последовательности:
   • <*>NetDy: Thanks to the SkyNet alias NetSky crew for the sourcecode.
   • <*>NetDy: We have rewritten NetSky.
   • <*>NetDy: Thats a good tactic to detroy the bagle and mydoom worms.
   • <*>NetDy: Our group will continue the war.
   • <*>NetDy: Malware writers 'End' comes true.
   • <*>NetDy: Our Social Engineering is the best *lol* (You have no virus symantec says!).
   • <*>NetDy: ----------------------------------------------------------------------------
   • <*>NetDy: We are greeting all russia people!

 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Petre Galan в(о) пятница, 5 марта 2010 г.
Описание обновил Petre Galan в(о) понедельник, 8 марта 2010 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.