Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

I-Worm.NetSky.aa

Jest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanych wiadomości e-mail. Ma postać pliku PE EXE o rozmiarze około 20 KB (kompresja UPX). Szkodnik wyposażony jest w procedurę backdoor oraz może przeprowadzać ataki DoS.

Instalacja

Po uruchomieniu robak kopiuje się do folderu Windows z nazwą Jammer2nd.exe i tworzy w rejestrze systemowym klucz auto-run:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Jammer2nd"="%Folder Windows%\jammer2nd.exe"

Dodatkowo szkodnik tworzy następujące pliki w folderze Windows: PK_ZIP_ALG.LOG oraz PK_ZIP.LOG.

W celu oznaczenia zainfekowanego komputera robak tworzy unikatowy identyfikator (S)(k)(y)(N)(e)(t).

Rozprzestrzenianie - poczta elektroniczna

Adresy ofiar pobierane są z plików posiadających następujące rozszerzenia:

  • ADB
  • ASP
  • CFG
  • CGI
  • DBX
  • DHTM
  • DOC
  • EML
  • HTM
  • HTML
  • JSP
  • MBX
  • MDX
  • MHT
  • MMF
  • MSG
  • NCH
  • ODS
  • OFT
  • PHP
  • PL
  • PPT
  • RTF
  • SHT
  • SHTM
  • STM
  • TBB
  • TXT
  • UIN
  • VBS
  • WAB
  • WSH
  • XLS

Szkodnik wysyła zainfekowane wiadomości e-mail przy użyciu własnego silnika SMTP.

Charakterystyka zainfekowanych wiadomości e-mail

  • Adres nadawcy: wybierany z adresów znalezionych w zainfekowanym komputerze

  • Temat (wybierany z poniższych możliwości):
    Hello
    Hi
    Important
    Important bill!
    Important data!
    Important details!
    Important document!
    Important informations!
    Important notice!
    Important textfile!
    Important!
    Information
    

  • Nazwa załącznika (wybierana z poniższych możliwości):

    Bill.zip
    Data.zip
    Details.zip
    Important.zip
    Informations.zip
    Notice.zip
    Part-2.zip
    Textfile.zip

Informacje dodatkowe

Robak otwiera port TCP 665 i oczekuje na zdalne polecenia hakera.

W zależności od daty systemowej robak może przeprowadzać ataki DoS na następujące serwisy:

  • www.educa.ch
  • www.medinfo.ufl.edu
  • www.nibis.de


 2004-06-02  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych