Email-Worm.Win32.NetSky.m

Технические детали

Вирус-червь. Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам.

Червь является приложением Windows (PE EXE-файл), имеет размер около 16 КБ (упакован UPX, размер распакованного файла - около 140 КБ), написан на Microsoft Visual C++.

При запуске с целью получения адресов email червь сканирует рекурсивно на всех дисках, начиная с C:, файлы с расширениями:

adb
asp
cgi
dbx
dhtm
doc
eml
htm
html
jsp
msg
oft
php
pl
rtf
sht
shtm
tbb
txt
uin
vbs
wab
wsh
xml

Инсталляция

При запуске червь копирует себя в каталог Windows под именем "AVprotect9x.exe" и записывает полный путь к этому файлу в ключ автозапуска системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
 "9xHtProtect"="%WinDir%\AVprotect9x.exe"

Зараженные письма

Тема:

Re: <%s> Approved
Re: <%s> Details
Re: <%s> Document
Re: <%s> Improved
Re: <%s> Information
Re: <%s> My details
Re: <%s> My document
Re: <%s> My file
Re: <%s> My information
Re: <%s> Requested document
Re: <%s> Requested file
Re: <%s> Your details
Re: <%s> Your document

Имя файла:

%s
articel_%s
detailed_%s
details_%s
doc_%s
document_%s
file_%s
improved_%s
message_%s
picture_%s
word_doc_%s
your_document_%s
your_file_%s

Тело письма:

%s is attached.
Authentification for %s required.
Details for %s.
Document %s.
I have attached your document %s."
I have received your document. The improved document %s is attached.
Please confirm the document %s.
Please read the attached file %s.
Please read the document %s.
Please read the important message msg_%s.
Please see the attached file %s for details.
Requested file %s.
See the file %s.
Your document %s is attached to this mail.
Your document %s is attached.
Your file %s is attached.

Проявления в системе

Открывает сразу группу из нескольких портов, номера которых постоянно инкрементирует (1 раз в несколько секунд) для всей открытой группы. Обнаружить данного червя по данному поведению можно увидеть с помощью Kaspersky Anti-Hacker.