Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

UWAGA! I-Worm.NetSky.o

Jest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanych wiadomości e-mail. Ma postać pliku PE EXE o rozmiarze około 16 KB (kompresja UPX, rozmiar po rozpakowaniu - około 140 KB). Szkodnik powstał przy użyciu środowiska programistycznego Microsoft Visual C++.

Rozprzestrzenianie - poczta elektroniczna

Adresy ofiar pobierane są z plików posiadających następujące rozszerzenia:

  • PL
  • HTM
  • HTML
  • EML
  • TXT
  • PHP
  • ASP
  • WAB
  • DOC
  • VBS
  • RTF
  • UIN
  • SHTM
  • CGI
  • DHTM
  • ADB
  • TBB
  • DBX
  • SHT
  • OFT
  • MSG
  • JSP
  • WSH
  • XM

Robak tworzy następujące pliki:

  • \zip1.tmp
  • \zip2.tmp
  • \zip3.tmp
  • \zip4.tmp
  • \zip5.tmp
  • \zip6.tmp

zawierające kod szkodnika w formacie MIME oraz plik zipped.tmp, w którym zapisana jest kopia robaka w formacie ZIP.

Robak usuwa z rejestru systemowego następujące klucze:

[HKLM(HKCU)\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
system.
msgsvr32
au.exe
service
DELETE ME
d3dupdate.exe
OLE
Sentry
gouday.exe
rate.exe
Taskmon
Windows Services Host
sysmon.exe
srate.exe
ssate.exe

Instalacja

Po uruchomieniu robak kopiuje się do foldera \Windows z nazwą Avprotect9x.exe i tworzy w rejestrze systemowym klucz auto-run:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
NetDy = \VisualGuard.exe

Zainfekowane wiadomości e-mail

  • Temat (wybierany spośród poniższych możliwości):
    Re:
    Re: Re:
    your
    my
    approved
    important
    here
    hi
    hello
    thanks!
    approved
    corrected
    patched
    improved
    important
    read it immediately
    

  • Treść (wybierany spośród poniższych możliwości):
    Your details.
    Your document.
    I have received your document. 
    The corrected document is attached.
    I have attached your document.
    Your document is attached to this mail.
    Authentication required.
    Requested file.
    See the file.
    Please read the important document.
    Please confirm the document.
    Your file is attached.
    Please read the document.
    Your document is attached.
    Please read the attached file.
    Please see the attached file for details.
    

  • Nazwa załącznika (wybierana spośród poniższych możliwości):
    document
    file
    details
    information
    letter
    product
    website
    application
    screensaver
    bill
    word document
    excel document
    data
    message
    text
    document_all
    

W kodzie robaka zapisane są następujące teksty:

<*>NetDy: Thanks to the S*k*y*N*e*t alias *N*e*t*S*k*y* crew for the sourcecode.
<*>NetDy: We have rewritten *N*e*t*S*k*y.
<*>NetDy: Thats a good tactic to detroy the bagle and mydoom worms.
<*>NetDy: Our group will continue the war.
<*>NetDy: Malware writers ',27h,'End',27h,' comes true.
<*>NetDy: Our Social Engineering is the best *lol* (You have no virus symantec says!).
<*>NetDy: ----------------------------------------------------------------------------
<*>NetDy: We are greeting all russia people!
USA SUCKS!!! AFGHAN SUCKS 2!!! BURN, SADDAM! BURN IN HELL! AND YOU, OSAMA BIN LADEN,
BURN IN THE DEVILS FIRE 2!!! SHAME ON YOU MR. BUSH!!!

Oznaki infekcji

Robak co sekundę otwiera różne porty. Zachowanie to pozwala programowi Kaspersky Anti-Hacker na wykrycie podejrzanej aktywności sieciowej.



 2004-08-04  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych