Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

I-Worm.Netsky.t

Jest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanych wiadomości e-mail. Ma postać pliku PE EXE o rozmiarze około 18 KB. Szkodnik powstał przy użyciu środowiska programistycznego Microsoft Visual C++.

Charakterystyka zainfekowanych wiadomości e-mail

  • Temat (wybierany z poniższych możliwości):
    Approved
    Hello
    Hi
    Important
    My details
    Re: Approved
    Re: Hello
    Re: Hi
    Re: Important
    Re: My details
    Re: Request
    Re: Thanks you!
    Re: Your details
    Re: Your document
    Re: Your information
    Request
    Thank you!
    Your details
    Your document
    Your information
    

  • Treść (wybierana z poniższych możliwości):
    Approved, here is the document.
    For more details see the attached document.
    For more information see the attached document.
    Hello!
    Here is the "...".
    Here is the document.
    Hi!
    I have found the "...".
    I have sent the "...".
    I have spent much time for the "...".
    I have spent much time for your document.
    My "..." is attached.
    My "...".
    Note that I have attached your document.
    Please have a look at the "...".
    Please have a look at the attached document.
    Please notice the attached "...".
    Please notice the attached document.
    Please read quickly.
    Please read the "...".
    Please read the attached document.
    Please see the "...".
    Please, "...".
    See the document for details.
    Thank you
    Thanks
    The "..." is attached.
    The "...".
    The requested "..." is attached!
    Your "..." is attached.
    Your "...".
    Your file is attached to this mail.
    Yours sincerely
    

    Zamiast "..." robak wstawia losowe znaki z poniższej listy:

    abuse list
    account
    answer
    approved document
    approved file
    archive
    bill
    concept
    contact list
    corrected document
    description
    detailed document
    details
    developement
    diggest
    document
    e-mail
    excel document
    file
    final version
    homepage
    icq number
    important document
    improved document
    improved file
    info
    information
    instructions
    letter
    list
    mail
    message
    movie document
    new document
    note
    notice
    number list
    old document
    order
    personal message
    phone number
    photo document
    picture document
    postcard
    powerpoint document
    presentation document
    release
    report
    requested document
    sample
    secound document
    story
    summary
    text
    textfile
    user list
    word document

  • Nazwa załącznika: plik o losowej nazwie z rozszerzeniem PIF

Instalacja

Robak aktywuje się tylko wtedy, gdy użytkownik uruchomi załącznik zainfekowanej wiadomości e-mail.

Po uruchomieniu robak kopiuje się do folderu Windows z nazwą EastAV.exe i tworzy w rejestrze systemowym klucz auto-run:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"EastAV"="%Folder Windows%\EastAV.exe"

Rozprzestrzenianie - poczta elektroniczna

Adresy ofiar pobierane są z plików posiadających następujące rozszerzenia:

  • ADB
  • ASP
  • CFG
  • CGI
  • DBX
  • DHTM
  • DOC
  • EML
  • HTM
  • HTML
  • JSP
  • MBX
  • MDX
  • MHT
  • MMF
  • MSG
  • NCH
  • ODS
  • OFT
  • PHP
  • PL
  • PPT
  • RTF
  • SHT
  • SHTM
  • STM
  • TBB
  • TXT
  • UIN
  • VBS
  • WAB
  • WSH
  • XLS
  • XML

Szkodnik wysyła zainfekowane wiadomości e-mail przy użyciu własnego silnika SMTP.

Informacje dodatkowe

Robak podejmuje próby przeprowadzania ataków DoS na następujące serwisy WWW:

  • www.cracks.am
  • www.emule.de
  • www.freemule.net
  • www.kazaa.com
  • www.keygen.us


 2004-06-02  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych