Email-Worm.Win32.NetSky.o

Технические детали

Вирус-червь. Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам.

Червь является приложением Windows (PE EXE-файл), имеет размер около 16 КБ (упакован UPX, размер распакованного файла - около 140 КБ), написан на Microsoft Visual C++.

При запуске с целью получения адресов email червь сканирует рекурсивно на всех дисках, начиная с C:, файлы с расширениями:

adb
asp
cgi
dbx
dhtm
doc
eml
htm
html
jsp
msg
oft

php
pl
rtf
sht
shtm
tbb
txt
uin
vbs
wab
wsh
xml

Создает следующие файлы, содержащие версию червя в MIME-кодировке:

%Windir%\zip1.tmp
%Windir%\zip2.tmp
%Windir%\zip3.tmp
%Windir%\zip4.tmp
%Windir%\zip5.tmp
%Windir%\zip6.tmp

Кроме того, создает версию червя в ZIP-архиве:

%Windir%\zipped.tmp

Удаляет следующие ключи реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
 "au.exe"
 "d3dupdate.exe"
 "DELETE ME"
 "gouday.exe"
 "msgsvr32"
 "OLE"
 "rate.exe"
 "Sentry"
 "service"
 "srate.exe"
 "ssate.exe"
 "sysmon.exe"
 "system."
 "Taskmon"
 "Windows Services Host"

Инсталляция

При запуске червь копирует себя в каталог Windows под именем AVprotect9x.exe и записывает полный путь к этому файлу в ключ автозапуска системного реестра:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
 "NetDy"="%windir%\VisualGuard.exe"

Зараженные письма

Тема письма:

Создается из нескольких частей:

1. Re:
   Re: Re:

2. your
   my

3. approved
   approved
   corrected
   hello
   here
   hi
   important
   important
   improved
   patched
   read it immediately
   thanks!

Имя файла:

application
bill
data
details
document
document_all
excel document
file
information
letter
message
product
screensaver
text
website
word document

Тело письма:

Authentication required.
I have attached your document.
I have received your document. The corrected document is attached.
Please confirm the document.
Please read the attached file.
Please read the document.
Please read the important document.
Please see the attached file for details.
Requested file.
See the file.
Your details.
Your document is attached to this mail.
Your document is attached.
Your document.
Your file is attached.

Содержит строки:

<*>NetDy: Thanks to the S*k*y*N*e*t alias *N*e*t*S*k*y* crew for the sourcecode.
<*>NetDy: We have rewritten *N*e*t*S*k*y.
<*>NetDy: Thats a good tactic to detroy the bagle and mydoom worms.
<*>NetDy: Our group will continue the war.
<*>NetDy: Malware writers ',27h,'End',27h,' comes true.
<*>NetDy: Our Social Engineering is the best *lol* (You have no virus symantec says!).
<*>NetDy: ----------------------------------------------------------------------------
<*>NetDy: We are greeting all russia people!
USA SUCKS!!! AFGHAN SUCKS 2!!! BURN, SADDAM! BURN IN HELL! AND YOU, OSAMA BIN LADEN,
BURN IN THE DEVILS FIRE 2!!! SHAME ON YOU MR. BUSH!!!

Проявления в системе

Открывает сразу группу из нескольких портов, номера которых постоянно инкрементирует (1 раз в несколько секунд) для всей открытой группы.

Обнаружить данного червя по данному поведению можно увидеть с помощью Kaspersky Anti-Hacker.