1 marca 2004

Uwaga! I-Worm.Netsky.d

Jest to robak internetowy rozprzestrzeniający się jako załącznik zainfekowanych wiadomości e-mail. Ma postać pliku PE EXE o rozmiarze 17 424 bajtów (kompresja Petite, rozmiar po rozpakowaniu - około 27 KB) i powstał przy użyciu środowiska programistycznego Microsoft Visual C++. Robak aktywuje się tylko wtedy, gdy użytkownik uruchomi zainfekowany załącznik.

Zainfekowane wiadomości posiadają następujące pola:

  • Temat:

    • Re: Re: Document
    • Re: Re: Thanks!
    • Re: Thanks!
    • Re: Your document
    • Re: Here is the document
    • Re: Your picture
    • Re: Re: Message
    • Re: Hi
    • Re: Hello
    • Re: Re: Re: Your document
    • Re: Here
    • Re: Your music
    • Re: Your software
    • Re: Approved
    • Re: Details
    • Re: Excel file
    • Re: Word file
    • Re: My details
    • Re: Your details
    • Re: Your bill
    • Re: Your text
    • Re: Your archive
    • Re: Your letter
    • Re: Your product
    • Re: Your website

  • Treść:

    • Your document is attached.
    • Here is the file.
    • See the attached file for details.
    • Please have a look at the attached file
    • Please read the attached file.
    • Your file is attached.

  • Nazwa załącznika:

    • your_document.pif
    • document.pif
    • message_part2.pif
    • document_full.pif
    • message_details.pif
    • your_file.pif
    • document_4351.pif
    • yours.pif
    • mp3music.pif
    • application.pif
    • all_document.pif
    • my_details.pif
    • document_excel.pif
    • document_word.pif
    • your_details.pif
    • your_bill.pif
    • your_text.pif
    • your_archive.pif
    • your_letter.pif
    • your_product.pif
    • your_website.pif

Instalacja

Robak kopiuje się z nazwą winlogon.exe do folderu Windows i tworzy w rejestrze systemowym następujący klucz:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]
"ICQ Net" = "%Folder Windows%\winlogon.exe"

Wysyłanie zainfekowanych wiadomości e-mail

Adresy ofiar pobietane są z plików posiadających następujące rozszerzenia:

  • ADB
  • ASP
  • DBX
  • DOC
  • EML
  • HTM
  • HTML
  • MSG
  • OFT
  • PHP
  • PL
  • RTF
  • SHT
  • TBB
  • TXT
  • UIN
  • VBS
  • WAB

Robak wysyła zainfekowane wiadomości e-mail przy użyciu własnego silnika SMTP, a także podejmuje próby dystrybuowania się za pośrednictwem następujących serwerów SMTP:

  • 62.155.255.16
  • 212.185.252.73
  • 212.185.253.70
  • 212.185.252.136
  • 194.25.2.129
  • 194.25.2.130
  • 195.20.224.234
  • 217.5.97.137
  • 194.25.2.129
  • 193.193.144.12
  • 212.7.128.162
  • 212.7.128.165
  • 193.193.158.10
  • 194.25.2.131
  • 194.25.2.132
  • 194.25.2.133
  • 194.25.2.134
  • 193.141.40.42
  • 145.253.2.171
  • 193.189.244.205
  • 213.191.74.19
  • 151.189.13.35
  • 195.185.185.195
  • 212.44.160.8

Usuwanie robaka Mydoom

Dodatkową funkcją szkodnika jest usuwanie z systemu robaka Mydoom. W tym celu NetSky.d szuka kluczy Explorer oraz Taskmon w następujących gałęziach rejestru:

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
  • HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

i usuwa klucz:

HKCR\CLSID\
{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\
InProcServer32

Informacje dodatkowe

Robak usuwa z rejestru systemowego następujące klucze:

  • KasperskyAV
  • System