Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

UWAGA! I-Worm.Skybag.a

Jest to robak rozprzestrzeniający się przez Internet jako załącznik zainfekowanych wiadomości e-mail, przy użyciu sieci lokalnych oraz za pośrednictwem sieci P2P. Ma postać pliku PE EXE o rozmiarze około 205 KB.

Instalacja

Po uruchomieniu robak kopiuje się foldera \Windows\System z nazwami:

bloodred.exe
Windows_kernel32.exe 

Ponadto szkodnik tworzy w tym samym folderze następujące pliki:

base64exe.sys
base64zip.sys
frun.txt

a także plik bloodred.zip w folderze Windows.

Następnie robak tworzy w rejestrze systemowym klucz auto-run zapewniający mu uruchamianie wraz z każdym startem systemu operacyjnego:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Kernel"="%System%\Windows_kernel32.exe"

Po wykonaniu powyższych czynności robak wyświetla na ekranie tekst:

Windows encountered an error reading the file

Rozprzestrzenianie - poczta elektroniczna

Adresy potencjalnych ofiar pobierane są z książki adresowej systemu Windows oraz z plików posiadających następujące rozszerzenia:

ADB
ASP
DBX
DOC
HTM
HTML
JSP
RTF
TXT
XML

W celu wysyłania zainfekowanych wiadomości e-mail szkodnik wykorzystuje bezpośrednie połączenie z serwerem SMTP odbiorcy.

Szkodnik nie wysyła wiadomości pod adresy zawierające następujące teksty:

@avp
@fsecure
@hotmail
@microsoft
@mm
@msn
@noreply
@norman
@norton
@panda
@sopho
@symantec
@virusli

Charakterystyka zainfekowanych wiadomości e-mail

  • Adres nadawcy (wybierany z poniższych możliwości):
    administration@ 
    management@ 
    Server@ 
    service@ 
    userhelp@
    

  • Temat (wybierany z poniższych możliwości):
    Detailed Information
    Email Account Information
    Server Error
    URGENT PLEASE READ!
    Urgent Update!
    User Info
    User Information
    

  • Treść (wybierana z poniższych możliwości):
    Our server is experiencing some latency in our email service.
    The attachment contains details on how your account will be affected.
    
    Due to recent internet attacks, your Email account security is being upgraded. 
    The attachment contains more details
    
    Our Email system has received reports of your account flooding email servers. 
    There is more information on this matter in the attachment
    
    We regret to inform you that your account has been hijacked and used 
    for illegal purposes. The attachment has more information about what has happened.
    
    Your Email account information has been removed from the system due to inactivity. 
    To renew your account information refer to the attachment
    
    There is urgent information in the attachment regarding your Email account
    

  • Nazwa załącznika (wybierana z poniższych możliwości):
    Account_Information
    Details
    Gift
    Information
    Update
    Word_Document
    

  • Rozszerzenie załącznika (wybierane z poniższych możliwości):
    CMD 
    PIF 
    SCR 
    ZIP
    

Rozprzestrzenianie - sieci lokalne oraz P2P

Szkodnik umieszcza własne kopie w folderach, których nazwy zawierają słowo Share. Kopie robaka mogą posiadać następujące nazwy:

ACDSEE10.exe
Adobe Photoshop Full Version.exe
Battlefield 1942.exe
Brianna banks and jenna jameson.mpeg ..exe
Britney spears naked.jpeg .exe
Cisco source code.zip ..exe
DVD Xcopy xpress.exe
jenna jameson screensaver.scr
Kazaa Lite.zip ..exe
NETSKY SOURCE CODE.zip ..exe
Norton AntiVirus 2004.exe
Opera Registered version.exe
Snood new version.exe
Teen Porn.mpeg ..exe
Visual Studio.NET.zip .exe
WinAmp 6.exe
Windows crack.zip ..exe
Windows Longhorn Beta.exe
WINDOWS SOURCE CODE.zip ..exe
WinRAR.exe

Funkcje dodatkowe

Szkodnik zamyka aplikację Windows Task Manager i nadpisuje plik \Windows\System\DRIVERS\ETC\HOSTS następującą zawartością:

127.0.0.1 www.norton.com 
127.0.0.1 norton.com 
127.0.0.1 yahoo.com 
127.0.0.1 www.yahoo.com 
127.0.0.1 microsoft.com 
127.0.0.1 www.microsoft.com 
127.0.0.1 windowsupdate.com 
127.0.0.1 www.windowsupdate.com 
127.0.0.1 www.mcafee.com 
127.0.0.1 mcafee.com 
127.0.0.1 www.nai.com 
127.0.0.1 nai.com 
127.0.0.1 www.ca.com 
127.0.0.1 ca.com 
127.0.0.1 liveupdate.symantec.com 
127.0.0.1 www.sophos.com 
127.0.0.1 www.google.com 
127.0.0.1 google.com

Począwszy od 15 listopada 2004 robak podejmuje próby przeprowadzania ataków DoS na serwis www.kazaa.com.

Dodatkowo szkodnik blokuje funkcjonowanie wielu zapór ogniowych i programów antywirusowych, a także otwiera port TCP 2345 i oczekuje na zdalne polecenia.

Inne znane nazwy szkodnika

W32/Netsky.ah@MM (McAfee),   W32.Netsky.AE@mm (Symantec),   W32/Yaha-G (Sophos),   WORM_YAHA.H (Trend Micro),   W32/Netsky.AJ@mm (FRISK),   Win32:Skybag (ALWIL),   I-Worm/Netsky.AF (Grisoft),   Win32.Skybag.A@mm (SOFTWIN)



 2004-11-15  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych