Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

I-Worm.NetSky.b - wygania Mydooma z systemu

Jest to robak internetowy rozprzestrzeniający się jako załącznik zainfekowanych wiadomości e-mail. Ma postać pliku PE EXE o rozmiarze około 21 KB (kompresja UPX, rozmiar po rozpakowaniu - około 40 KB).

Instalacja

Po uruchomieniu robak wyświetla fałszywy komunikat o wystąpieniu błędu:

The file could not be opened.

Następnie kopiuje się z nazwą services.exe do folderu Windows i tworzy w rejestrze systemowym klucz auto-run:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"service" = "%windir%\services.exe -serv"

W celu oznaczenia zainfekowanego komputera robak tworzy w pamięci unikatowy identyfikator AdmSkynetJklS003.

Szkodnik tworzy własne kopie na dyskach od C: do Z: w folderach, których nazwy zawierają słowo share lub sharing. Nazwy kopii są wybierane z poniższej listy:

  • winxp_crack.exe
  • dolly_buster.jpg.pif
  • strippoker.exe
  • photoshop 9 crack.exe
  • matrix.scr
  • porno.scr
  • angels.pif
  • hardcore porn.jpg.exe
  • office_crack.exe
  • serial.txt.exe
  • cool screensaver.scr
  • eminem - lick my pussy.mp3.pif
  • nero.7.exe
  • virii.scr
  • e-book.archive.doc.exe
  • max payne 2.crack.exe
  • how to hack.doc.exe
  • programming basics.doc.exe
  • e.book.doc.exe
  • win longhorn.doc.exe
  • dictionary.doc.exe
  • rfc compilation.doc.exe
  • sex sex sex sex.doc.exe
  • doom2.doc.pif

Dodatkowo robak tworzy własne kopie w formacie ZIP. Ich nazwy wybierane są z poniższej listy:

  • document
  • msg
  • doc
  • talk
  • message
  • creditcard
  • details
  • attachment
  • me
  • stuff
  • posting
  • textfile
  • concert
  • information
  • note
  • bill
  • swimmingpool
  • product
  • topseller
  • ps
  • shower
  • aboutyou
  • nomoney
  • found
  • story
  • mails
  • website
  • friend
  • jokes
  • location
  • final
  • release
  • dinner
  • ranking
  • object
  • mail2
  • part2
  • disco
  • party
  • misc
  • #n#o#t#n#e#t#s#k#y#-#s#k#y#n#e#t#!

Rozprzestrzenianie

Adresy potencjalnych ofiar pobierane są z plików posiadających następujące rozszerzenia:

  • ADB
  • ASP
  • DBX
  • DOC
  • EML
  • HTM
  • HTML
  • MSG
  • OFT
  • PHP
  • PL
  • RTF
  • SHT
  • TBB
  • TXT
  • UIN
  • VBS
  • WAB

W celu wysyłania zainfekowanych wiadomości e-mail szkodnik wykorzystuje własny silnik SMTP.

Zainfekowane wiadomości mogą posiadać różne pola wybierane z poniższych list:

  • Temat:

    • Hi
    • hi 
    • hello 
    • read it immediately 
    • something for you 
    • warning 
    • information 
    • stolen 
    • fake 
    • unknown

  • Treść:

    • anythingOk? 
    • anything ok? 
    • what does it mean? 
    • ok 
    • i'm waiting 
    • read the details. 
    • here is the document. 
    • read it immediately! 
    • my hero 
    • here
    • is that true? 
    • is that your name? 
    • is that your account? 
    • i wait for a reply! 
    • is that from you? 
    • you are a bad writer 
    • I have your password! 
    • something about you! 
    • kill the writer of this document! 
    • i hope it is not true! 
    • your name is wrong 
    • i found this document about you 
    • yes, really? 
    • that is bad 
    • here it is 
    • see you 
    • greetings 
    • stuff about you? 
    • something is going wrong! 
    • information about you 
    • about me 
    • from the chatter 
    • here, the serials 
    • here, the introduction 
    • here, the cheats 
    • that's funny 
    • do you? 
    • reply 
    • take it easy 
    • why? 
    • thats wrong 
    • misc 
    • you earn money
    • you feel the same 
    • you try to steal 
    • you are bad 
    • something is going wrong 
    • something is fool

Usuwanie robaka Mydoom

Dodatkową funkcją szkodnika jest usuwanie z systemu robaka Mydoom. W tym celu NetSky.b szuka kluczy Explorer oraz Taskmon w następujących gałęziach rejestru:

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
  • HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

i usuwa klucz:

HKCR\CLSID\
{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\
InProcServer32



 2004-02-19  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych