Имя:Worm/Netsky.S.1
Обнаружен:31/03/2004
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:От низкого до среднего
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:20.624 байт.
Контрольная сумма MD5:5bbb322a70a6a248369f45ece8d9e79b
Версия IVDF:6.24.00.78 - среда, 31 марта 2004 г.

 Общее Метод распространения:
   • Email


Псевдонимы (аliases):
   •  Mcafee: W32/Netsky.r
   •  Sophos: W32/Netsky-R
   •  Panda: W32/Netsky.R.worm
   •  Eset: Win32/Netsky.P
   •  Bitdefender: Win32.Netsky.R@mm


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает вредоносные файлы
   • Использует собственный почтовый движок
   • Изменение реестра

 Файлы Создается собственная копия:
   • %WINDIR%\pandaavengine.exe



Создаются следующие файлы:

%WINDIR%\uinmzertinmds.opm Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: Worm/Netsky.R

%WINDIR%\temp09094283.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: Worm/Netsky.S.2

 Реестр Для повторного запуска процесса после перезагрузки системы одно из следующих значений добавляется к ключу реестра.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "PandaAVEngine"="%WINDIR%\PandaAVEngine.exe"

 Email Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:
Вредоносная программа отправляет почту с помощью MAPI интерфейса. Устанавливается прямое соединение с сервером. Подробности приведены ниже:


Кому:
– В определенных файлах системы были обнаружены электронные адреса.
– Полученные из WAB (адресная книга Windows) адреса электронной почты
Тема письма составляется следующим образом:

    Начинается одним из следующих:
   • Re:

    Завершается одним из следующих:
   • Document

    Заканчивается следующей строкой:
   • %Число%


Тело:
– Содержит HTML код.
Тело письма имеет один из следующих видов:

   • Your document is attached.


Продолжается одним из следующих:

   • No virus found
     Powered by the new Norton OnlineScan
     Get protected:


Прикрепленный файл:

–  Начинается одним из следующих:
   • Document

Завершается одним из следующих:
   • %Число%

    Имеет одно из следующих фальшивых расширений файлов:
   • .pif

Прикрепленный файл является копией вредоносной программы:

 Отправка Поиск адресов:
Проверка следующих файлов на наличие в них электронных адресов:
   • .xml; .wsh; .jsp; .msg; .oft; .sht; .dbx; .tbb; .adb; .dhtm; .cgi;
      .shtm; .uin; .rtf; .vbs; .doc; .wab; .asp; .php; .txt; .eml; .html;
      .htm; .pl

 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Petre Galan в(о) пятница, 5 марта 2010 г.
Описание обновил Petre Galan в(о) пятница, 5 марта 2010 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.