Email-Worm.Win32.NetSky.r

Технические детали

Вирус-червь. Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет размер около 26 KB, упакован Petite. Написан на Microsoft Visual C++.

Содержимое зараженных писем

Заголовок:

Выбирается произвольным образом из следующих:

Deliver Mail
Delivered Message
Delivery
Delivery Bot
Delivery Error
Delivery Failed
Delivery Failure
Error
Failed
Failure
Mail Delivery failure
Mail Delivery System
Mail System
Server Error
Status
Unknown Exception

а также указывается адрес получателя.

Текст:

Выбирается и составляется произвольным образом из следующих значений:

1:

Delivery Agent - Translation failed
Delivery Failure - Invalid mail specification
Mail Delivery - This mail couldn't be displayed
Mail Delivery Error - This mail contains unicode characters
Mail Delivery Failed - This mail couldn't be represented
Mail Delivery Failure - This mail couldn't be shown.
Mail Delivery System - This mail contains binary characters
Mail Transaction Failed - This mail couldn't be converted

2:

Message has been sent as a binary attachment.
Modified message has been sent as a binary attachment.
Note: Received message has been sent as a binary file.
Partial message is available and has been sent as a binary attachment.
Received message has been attached.
Received message has been sent as an encoded attachment.
The message has been sent as a binary attachment.
Translated message has been attached.

Также может использоваться следующая строка:

Or you can view the message at: www.[домен получателя]/inmail/
[имя получателя]/mread.php?sessionid-[произвольное значение]

Например:

Or you can view the message at: www.kaspersky.com/inmail/
test/mread.php?sessionid-4321

Имя вложения:

Выбирается произвольным образом из следующих:

data
mail
message
msg

К ним добавляется произвольное число и произвольное расширение.

Червь активизируется, если пользователь сам запускает зараженный файл (при двойном щелчке на вложении).

Также червь может посылать письма, содержащие в тексте использование уязвимости в некорректной обработке MIME-заголовка (описание уязвимости на сайте Microsoft).

Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.

Инсталляция

При инсталляции червь копирует себя с именем "SysMonXP.exe" в каталог Windows и регистрирует этот файл в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 "SysMonXP"="%windir%\SysMonXP.exe"

Извлекает из себя и устанавливает в каталог Windows файл "firewalllogger.txt".

Червь может при запуске открывать Notepad и загружать в него свой файл с именем "tmp.eml".

Создает в памяти уникальный идентификатор "_-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_" для определения своего присутствия в системе.

Червь может устанавливать в систему еще несколько своих копий с именами:

base64.tmp
zipo0.txt
zipo1.txt
zipo2.txt
zipo3.txt
zippedbase64.tmp

Рассылка писем

Червь ищет файлы с расширениями из списка:

a
ad
adb
as
asp
c
cf
cfg
cg
cgi
d
db
dbx
dh
dht
dhtm
do
doc
e
em
eml

h
ht,
htm
htmlj
js
jsp
m
mb
mbx
md
mdx
mh
mht
mm
mmf
ms
msg
n
nc
nch
o

od
ods
of
oftp
ph
php
pl
pp
ppt
r
rt
rtf
s
sh
sht
shtm
st
stm
t
tb
tbb

tx
txt
u
ui
uin
v
vb
vbs
w
wa
wab
ws
wsh
x
xl
xls
xm
xml

Ищет в них адреса электронной почты и рассылает свои копии по найденным адресам. Для отправки писем червь использует собственную SMTP-библиотеку.

Прочее

Червь удаляет из системного реестра Windows следующие ключи:

au.exe
d3dupdate.exe
DELETE ME
direct.exe
Explorer
gouday.exe
ICM version
jijbl
Microsoft IE Execute shell
Microsoft System Checkup
msgsvr32
OLE
rate.exe
Sentry
service
srate.exe
ssate.exe
sysmon.exe
system.
Taskmon
Video
Windows Services Host
Winsock2 driver
winupd.exe
yeahdude.exe

В зависимости от системной даты, червь пытается организовывать DDoS-атаки на следующие сайты:

www.cracks.am
www.cracks.st
www.edonkey2000.com
www.emule-project.net
www.kazaa.com