Worm/NetSky.AA - Worm

это описание доступно в

Резюме

Подробное описание

Статистика

Имя:	Worm/NetSky.AA
Обнаружен:	22/05/2005
Вид:	Червь
В реальных условиях:	Да
Отмеченные факты заражения:	Средний
Потенциал распространения:	Средний
Потенциал повреждений:	Низкий
Файл статистики:	Да
Размер файла:	27.136 байт.
Контрольная сумма MD5:	c43fa1b082302f3b8e01d77fb95c78c6
Версия VDF:	6.25.00.34

Общее Метод распространения:
   • Email

Псевдонимы (аliases):
   • Symantec: W32.Netsky.Z@mm
   • Mcafee: W32/Netsky
   • Kaspersky: Email-Worm.Win32.NetSky.aa
   • TrendMicro: WORM_NETSKY.Z
   • F-Secure: W32/Netsky.AK@mm
   • Grisoft: I-Worm/Netsky.Z
   • VirusBuster: I-Worm.NetSky.Z1
   • Bitdefender: Win32.Netsky.AA@mm

Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Использует собственный почтовый движок
   • Изменение реестра

Файлы Создается собственная копия:
   • %WINDIR%\Jammer2nd.exe

Создаются следующие файлы:

– Создается следующий архивный файл с копией вредоносной программы:
   • %WINDIR%\pk_zip_alg.log

– MIME зашифровала собственную копию:
   • %WINDIR%\pk_zip1.log
   • %WINDIR%\pk_zip2.log
   • %WINDIR%\pk_zip3.log
   • %WINDIR%\pk_zip4.log
   • %WINDIR%\pk_zip5.log
   • %WINDIR%\pk_zip6.log
   • %WINDIR%\pk_zip7.log
   • %WINDIR%\pk_zip8.log

Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "Jammer2nd"="%WINDIR%\Jammer2nd.exe"

Email Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:

От:
Адрес отправителя был фальсифицирован.
Генерированные адреса. Отправитель мог не иметь намерения отправлять это письмо. Он может ничего не знать об инфицировании свой системы. Вы можете получать письма с утверждением об инфицировании Вашей системы.

Кому:
– В определенных файлах системы были обнаружены электронные адреса.
– Полученные из WAB (адресная книга Windows) адреса электронной почты
Получателем письма является:
   • jamainlbbbsdef@yahoo.com

Тема:
Одно из следующих:
   • Document
   • Hello
   • Hi
   • Important
   • Information

Тело:
Тело письма имеет один из следующих видов:
   • Important bill!
   • Important data!
   • Important details!
   • Important document!
   • Important informations!
   • Important notice!
   • Important textfile!
   • Important!

Прикрепленный файл:
Одно из следующих имен прикрепленного файла:
   • Bill.zip
   • Data.zip
   • Details.zip
   • Important.zip
   • Informations.zip
   • Notice.zip
   • Part-2.zip
   • Textfile.zip

Отправка Поиск адресов:
Проверка следующих файлов на наличие в них электронных адресов:
   • .ppt; .xml; .wsh; .jsp; .msg; .oft; .sht; .nch; .mmf; .mht; .dbx;
      .tbb; .adb; .xls; .stm; .ods; .dhtm; .cgi; .shtm; .uin; .rtf; .vbs;
      .php; .txt; .eml; .doc; .wab; .asp; .html; .htm; .pl; .mdx; .mbx; .cfg

Связывается с DNS:
В случае неудачи выполнения запроса со стандартным DNS выполняется попытка подключения к следующему.
Имеется возможность связаться со следующими DNS серверами:
   • 212.44.160.8; 195.185.185.195; 151.189.13.35; 213.191.74.19;
      193.189.244.205; 145.253.2.171; 193.141.40.42; 194.25.2.134;
      194.25.2.133; 194.25.2.132; 194.25.2.131; 193.193.158.10;
      212.7.128.165; 212.7.128.162; 193.193.144.12; 217.5.97.137;
      195.20.224.234; 194.25.2.130; 194.25.2.129; 212.185.252.136;
      212.185.253.70; 212.185.252.73

Backdoor Открывается порт:

– %выполненный файл% по TCP порту 665 для обеспечения backdoor функции.

DoS 02/05/2004 запускаются DoS атаки против следующеих целей:
   • www.nibis.de
   • www.medinfo.ufl.edu
   • www.educa.ch

Разное Мьютекс:
Создается мьютекс:
• (S)(k)(y)(N)(e)(t)

Строка:
Здесь содержится следующая последовательность:
• :::::::::::They never learn it!:::::::::::

Данные файла Язык программирования:
Программа была написана на MS Visual C++.

Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
• ASPack 2.11c

Краткое описание см. здесь.

Описание добавлено: Razvan Olteanu Mon, 29 Aug 2005 15:41 (GMT+1)
Описание обновлено: Andrei Ivanes Tue, 14 Mar 2006 08:36 (GMT+1)

» О вредоносном ПО
» О фишинге
» В список опасных вирусов

« назад