Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

I-Worm.Netsky.y - poliglota

Jest to robak internetowy rozprzestrzeniający się jako załącznik zainfekowanych wiadomości e-mail. Powstał przy użyciu środowiska programistycznego Microsoft Visual C++ i ma postać pliku PE EXE o rozmiarze 26 112 bajtów (kompresja PE_Patch+TeLock, rozmiar po rozpakowaniu - 28 160 bajtów).

Instalacja

Szkodnik aktywuje się tylko wtedy, gdy użytkownik uruchomi zainfekowany załącznik.

Robak kopiuje się z nazwą FirewallSvr.exe do folderu Windows i tworzy w rejestrze systemowym klucz auto-run:

[HKLM\Software\Microsoft\Windows\CurrentVersion\
Run\FirewallSvr]

Zainfekowane wiadomości e-mail

Robak wysyła wiadomości w różnych językach (w zależności od domeny w jakiej znajduje się adres odbiorcy). Adres nadawcy jest zawsze taki sam - hukanmikloiuo@yahoo.com.

  • Domena ".tc"

    • Temat: Re: belge
    • Treść: mutlu etmek okumak belgili tanimlik belge.
    • Nazwa załącznika: belge.pif

  • Domena ".se"

    • Temat: Re: dokumenten
    • Treść: Behaga läsa dokumenten.
    • Nazwa załącznika: dokumenten.pif

  • Domena ".fi"

    • Temat: Re: dokumentoida
    • Treść: Haluta kuulua dokumentoida.
    • Nazwa załącznika: dokumentoida.pif

  • Domena ".pl"

    • Temat: Re: udokumentowac
    • Treść: Podobac sie przeczytac ten udokumentowac.
    • Nazwa załącznika: udokumentowac.pif

  • Domena ".no"

    • Temat: Re: dokumentet
    • Treść: Behage lese dokumentet.
    • Nazwa załącznika: dokumentet.pif

  • Domena ".pt"

    • Temat: Re: original
    • Treść: Leia por favor o original.
    • Nazwa załącznika: original.pif

  • Domena ".it"

    • Temat: Re: documento
    • Treść: Legga prego il documento.
    • Nazwa załącznika: documento.pif

  • Domena ".fr"

    • Temat: Re: document
    • Treść: Veuillez lire le document.
    • Nazwa załącznika: document.pif

  • Domena ".de"

    • Temat: Re: dokument
    • Treść: Bitte lesen Sie das Dokument.
    • Nazwa załącznika: dokument.pif

  • Pozostałe domeny

    • Temat: Re: document
    • Treść: Please read the document.
    • Nazwa załącznika: document.pif

Masowe wysyłanie wiadomości e-mail

Adresy potencjalnych ofiar pobierane są z plików następujących typów:

  • ADB
  • ASP
  • DBX
  • DOC
  • EML
  • HTM
  • HTML
  • MSG
  • OFT
  • PHP
  • PL
  • RTF
  • SHT
  • TBB
  • TXT
  • UIN
  • VBS
  • WAB

Informacje dodatkowe

Między 27, a 30 kwietnia robak przeprowadza ataki DoS na następujące serwery:

  • www.educa.ch
  • www.medinfo.ufl.edu
  • www.nibis.de

Robak otwiera port 82 i śledzi jego aktywność. Wbudowana w szkodnika funkcja backdoor pozwala hakerowi na zapisywanie plików na zainfekowanym komputerze.

Robak tworzy w folderze Windows plik fuck_you_bagle.txt i zapisuje w nim własny kod. Plik ten jest wykorzystywany w procesie generowania zainfekowanych wiadomości e-mail.



 2004-04-20  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych