Worm/NetSky.X.12 - Worm

это описание доступно в

Резюме

Подробное описание

Статистика

Имя:	Worm/NetSky.X.12
Обнаружен:	09/01/2007
Вид:	Червь
В реальных условиях:	Нет
Отмеченные факты заражения:	Низкий
Потенциал распространения:	Средний
Потенциал повреждений:	От низкого до среднего
Файл статистики:	Да
Размер файла:	29.184 байт.
Контрольная сумма MD5:	47ce2ebadf10b72efe09623e05499778
Версия VDF:	6.36.01.018
Версия IVDF:	6.36.01.018

Общее Метод распространения:
   • Email

Псевдонимы (аliases):
   • Mcafee: W32/Netsky@MM
   • Kaspersky: Email-Worm.Win32.NetSky.x
   • Grisoft: I-Worm/Netsky.EC
   • Eset: Win32/Netsky.N
   • Bitdefender: Win32.Netsky.W@mm

Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Создает вредоносные файлы
   • Использует собственный почтовый движок
   • Изменение реестра

Файлы Создается собственная копия:
   • %WINDIR%\DiskMonitor.exe

Создаются следующие файлы:

– MIME зашифровала собственную копию:
   • %WINDIR%\constant
   • %WINDIR%\your_details.doc
   • %WINDIR%\666!.hel
   • %WINDIR%\document.htm
   • %WINDIR%\voltaput
   • %WINDIR%\doc.txt
   • %WINDIR%\mulala!!
   • %WINDIR%\doc.pif
   • %WINDIR%\vaca.vac
   • %WINDIR%\your_details.scr
   • %WINDIR%\puta.vac
   • %WINDIR%\document.exe
   • %WINDIR%\baseadofum
   • %WINDIR%\paula!.ama

Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "AleVi"="%WINDIR%\DiskMonitor.exe"

Удаляются значения следующих ключей реестра:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Explorer
   • system
   • msgsvr32
   • service
   • DELETE ME
   • Sentry
   • Taskmon
   • Windows Services Host

– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Explorer
   • au.exe
   • d3dupdate.exe
   • OLE
   • gouday.exe
   • rate.exe
   • Taskmon
   • Windows Services Host
   • sysmon.exe
   • srate.exe
   • ssate.exe

– [HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}]
   • InProcServer32

Email Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:

От:
Адрес отправителя был фальсифицирован.

Кому:
– В определенных файлах системы были обнаружены электронные адреса.

Тема:
Тема письма иногда может оставаться пустой.
Тема письма может содержать случайные знаки.
Тема письма составляется следующим образом:

    Иногда имеет в начале следующее:
   • RE:

    Иногда содержит в конце одну из следующих строк:
   • RE:

    Заканчивается следующей строкой:
   • Nossas contas leia!
   • Aprovado!
   • Delicia!
   • Contas!
   • Obrigado!
   • Passou!!
   • Valeu!!
   • Grana
   • Pena
   • sol
   • BRAS

Тело:
– Содержит HTML код.
Тело письма имеет один из следующих видов:

   • @Lamento sabe!

   • Olha a festa!!

   • Nao sei o que eh isso me diga! Tabela de precos de Natal veja!!!!.

   • Conta regularizada veja aqui!!

   • Veja os arquivos que te mandei aqui!!!.

   • Proposta de emprego veja

   • O que isso heim

   • Conta Fechada

   • Quero sua opiniao leia tudo ta bjs!

   • Tenho pressa ve e me liga!!!

   • Olha nossas fotos (RS)

   • Leia rapido o arquivo!!!!

   • Nossas contas veja detalhe

   • Por-favor entre em contato!!!.

   • Grande Oportunidade veja os detalhes !!!.

Продолжается одним из следующих:

   • --------------------------------------------
     %Имя прикрепленного файла%:Nao Tem Virus!
     Norton AntiVirus Procura
     Progressiva
     FiqueProtegido www.symantec.com

Прикрепленный файл:
Имя прикрепленного файла образуется следующим образом:

– Начинается одним из следующих:
   • Bala
   • Cambau
   • Fotos!!
   • Me Liga ta???
   • Me liga vai
   • Mentira
   • Nossa Conta
   • Olha isso!!
   • Paes
   • Saia de Ferias
   • Sandra!!
   • Sua Conta!!!
   • Te Amo!
   • Vaga
   • Vida

Иногда содержит в конце одну из следующих строк:
   • _%пользовательская часть электронного адреса получателя%

    Одно из следующих расширений файла:
   • .zip
   • .pif
   • .exe
   • .scr

Пример имён вложенных файлов:
   • Bala__%пользовательская часть электронного адреса получателя%.exe
   • Sandra!!.pif

Прикрепленный файл является копией вредоносной программы:

Письмо могло бы выглядеть следующим образом:

Отправка Поиск адресов:
Проверка следующих файлов на наличие в них электронных адресов:
   • .xml; .wsh; .jsp; .msg; .oft; .sht; .dbx; .tbb; .adb; .dhtm; .cgi;
      .shtm; .uin; .rtf; .vbs; .doc; .wab; .asp; .php; .txt; .eml; .html;
      .htm; .pl

Присоединение последовательности символов:
Для получения IP адреса почтового сервера перед доменным именем указываются следующие строки:
   • mail.
   • mx.
   • mx2.

Разное Мьютекс:
Создается мьютекс:
• VxBrasil_Causando!

Строка:
Здесь содержится следующая последовательность:
• Se voce esta lendo isso veja bem quero dizer que consigo codar um Worm sozinho so que nao estou afim entao ve se para de criticar algo que alguem fez e faca algo ta bom. Eh sim eh uma versao do NetSky Disassemblada e modificada Falou. Queria fazer um protesto aqui com essa merda de WORM que ja deu o que tinha que dar. Aonde nosso BRASIL vai parar? Queria um emprego descente so que so me derao migalhas? Ate quando teremos que tolerar essas pessoas que dizem fazer pela gente e fazem o mesmo que todo mundo mentem e roubao? Queria mais que um emprego descente queria ter Orgulho de ser BRASILEIRO!!!VXBRASIL NOS NAO ESTAMOS MORTOS SE PREPAREM PARA UMA NOVA ERA DOS VIRUS DE COMPUTADOR.11/11/2006 SAMPA!

Данные файла Язык программирования:
Программа была написана на MS Visual C++.

Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
• PE Pack

Краткое описание см. здесь.

Описание добавлено: Monica Ghitun Tue, 09 Jan 2007 14:49 (GMT+1)
Описание обновлено: Monica Ghitun Tue, 09 Jan 2007 16:45 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back