Имя:Worm/Netsky.T
Обнаружен:05/04/2004
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:От низкого до среднего
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:18.432 байт.
Контрольная сумма MD5:5e12dace2155beca61c050ad2deb519a
Версия IVDF:6.24.00.86 - понедельник, 5 апреля 2004 г.

 Общее Метод распространения:
   • Email


Псевдонимы (аliases):
   •  Mcafee: W32/Netsky.s
   •  Sophos: W32/Netsky-S
   •  Panda: W32/Netsky.S.worm
   •  Eset: Win32/Netsky.S
   •  Bitdefender: Win32.Netsky.S@mm


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает вредоносные файлы
   • Использует собственный почтовый движок
   • Изменение реестра

 Файлы Создается собственная копия:
   • %WINDIR%\EasyAV.exe



Создается файл:

%WINDIR%\uinmzertinmds.opm Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: Worm/Netsky.T

 Реестр Для повторного запуска процесса после перезагрузки системы одно из следующих значений добавляется к ключу реестра.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "EasyAV"="%WINDIR%\EasyAV.exe"

 Email Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:
Вредоносная программа отправляет почту с помощью MAPI интерфейса. Устанавливается прямое соединение с сервером. Подробности приведены ниже:


От:
Адрес отправителя был фальсифицирован.
Адрес отправителя - учетная запись пользователя Outlook


Кому:
– В определенных файлах системы были обнаружены электронные адреса.
– Полученные из WAB (адресная книга Windows) адреса электронной почты


Тема:
Одно из следующих:
   • Hello!; Hi!; Re: Important; Important; Re: My details; My details; Re:
      Your information; Your information; Re: Your details; Your details;
      Re: Your document; Your document; Re: Request; Request; Re: Thanks
      you!; Thank you!; Re: Approved; Approved; Re: Hello; Re: Hi; Hello; Hi


    Иногда имеет в начале следующее:

Тело:
– Содержит HTML код.
Тело письма имеет один из следующих видов:

   • Hello!
     Hi!

   • Note that I have attached your document.
     My %Имя прикрепленного файла%.
     The %Имя прикрепленного файла%.
     I have spent much time for the %Имя прикрепленного файла%.
     I have spent much time for your document.
     Your %Имя прикрепленного файла%.
     Please notice the attached %Имя прикрепленного файла%.
     Please notice the attached document.
     Please read quickly.
     For more details see the attached document.
     For more information see the attached document.
     Approved, here is the document.
     I have found the %Имя прикрепленного файла%.
     My %Имя прикрепленного файла% is attached.
     Your %Имя прикрепленного файла% is attached.
     Please, %Имя прикрепленного файла%.
     Your file is attached to this mail.
     Please read the attached document.
     Please have a look at the attached document.
     See the document for details.
     Here is the document.
     The requested %Имя прикрепленного файла% is attached!
     I have sent the %Имя прикрепленного файла%.
     Please see the %Имя прикрепленного файла%.
     The %Имя прикрепленного файла% is attached.
     Here is the %Имя прикрепленного файла%.
     Please have a look at the %Имя прикрепленного файла%.
     Please read the %Имя прикрепленного файла%.


Иногда продолжается одним из следующих:

   • Yours sincerely
     Thank you
     Thanks


Иногда продолжается одним из следующих:

   • +++ X-Attachment-Type: document
     +++ X-Attachment-Status: no virus found
     +++ Powered by the new Panda OnlineAntiVirus
     +++ Website: www.pandasoftware.com
     +++ X-Attachment-Type: document
     +++ X-Attachment-Status: no virus found
     +++ Powered by the new MCAfee OnlineAntiVirus
     +++ Homepage: www.mcafee.com
     +++ X-Attachment-Type: document
     +++ X-Attachment-Status: no virus found
     +++ Powered by the new F-Secure OnlineAntiVirus
     +++ Visit us: www.f-secure.com
     +++ X-Attachment-Type: document
     +++ X-Attachment-Status: no virus found
     +++ Powered by the new Norton OnlineAntiVirus
     +++ Free trial: www.norton.com


Прикрепленный файл:
Имена прикрепелнных файлов образуются следующим образом:

–  Начинается одним из следующих:
   • abuse_list
   • approved_document
   • archive
   • bill
   • developement
   • diggest
   • excel_document
   • file
   • homepage
   • icq_number
   • information
   • message
   • movie_document
   • notice
   • number_list
   • postcard
   • report
   • story
   • summary
   • word_document

Завершается одним из следующих:
   • %Число%

    Имеет одно из следующих фальшивых расширений файлов:
   • .pif



Пример имён вложенных файлов:
   • abuse_list4.pif
   • approved_document7.pif
   • bill1.pif
   • developement7.pif
   • file6.pif

Прикрепленный файл является копией вредоносной программы:

 Отправка Поиск адресов:
Проверка следующих файлов на наличие в них электронных адресов:
   • .xml; .wsh; .jsp; .msg; .oft; .sht; .dbx; .tbb; .adb; .dhtm; .cgi;
      .shtm; .uin; .rtf; .vbs; .doc; .wab; .asp; .php; .txt; .eml; .html;
      .htm; .pl

 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Petre Galan в(о) пятница, 5 марта 2010 г.
Описание обновил Petre Galan в(о) понедельник, 8 марта 2010 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.