Russian

Вход

Поиск

Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано.

Уровень опасности: 1

Следите в

Главная→Описания→Email-Worm.Win32.NetSky.y

Email-Worm.Win32.NetSky.y

Время детектирования	20 апр 2004 16:45 MSK
Время выпуска обновления	01 авг 2004 19:50 MSK
Описание опубликовано	20 апр 2004 16:45 MSK

Технические детали

Вирус-червь. Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам.

Написан на Microsoft Visual C++. Упакован PE_Patch+TeLock. Размер в сжатом виде - 26112 байт, в разжатом - 28160 байт.

Содержание зараженных писем

Письмо составляется следующим образом:

Адрес отправителя:

hukanmikloiuo@yahoo.com

Домен ".tc":

Заголовок:

Re: belge

Текст письма

mutlu etmek okumak belgili tanimlik belge.

Имя вложения

belge.pif

Домен ".se":

Заголовок

Re: dokumenten

Текст письма

Behaga lфsa dokumenten.

Имя вложения

dokumenten.pif

Домен ".fi":

Заголовок

Re: dokumentoida

Текст письма

Haluta kuulua dokumentoida.

Имя вложения

dokumentoida.pif

Домен ".pl":

Заголовок

Re: udokumentowac

Текст письма

Podobac sie przeczytac ten udokumentowac.

Имя вложения

udokumentowac.pif

Домен ".no":

Заголовок

Re: dokumentet

Текст письма

Behage lese dokumentet.

Имя вложения

dokumentet.pif

Домен ".pt":

Заголовок

Re: original

Текст письма

Leia por favor o original.

Имя вложения

original.pif

Домен ".it":

Заголовок

Re: documento

Текст письма

Legga prego il documento.

Имя вложения

documento.pif

Домен ".fr":

Заголовок

Re: document

Текст письма

Veuillez lire le document.

Имя вложения

document.pif

Домен ".de":

Заголовок

Re: dokument

Текст письма

Bitte lesen Sie das Dokument.

Имя вложения

dokument.pif

Остальные домены:

Заголовок

Re: document

Текст письма

Please read the document.

Имя вложения

document.pif

Червь активизируется, если пользователь сам запускает зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.

Инсталляция

При инсталляции червь копирует себя с именем FirewallSvr.exe в каталог Windows и регистрирует этот файл в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run\FirewallSvr]

Рассылка писем

Червь ищет файлы с расширениями adb, asp, dbx, doc, eml, htm, html, msg, oft, php, pl, rtf, sht, tbb, txt, uin, vbs, и wab, ищет в них адреса электронной почты и рассылает свои копии по найденным адресам.

В каталоге Windows червь создает файл "fuck_you_bagle.txt" в который записывает свое тело в формате электронных писем. В дальнейшем использует этот файл для генерации зараженных писем.

Удаленное администрирование

Червь открывает и затем отслеживает порт 82.

Функции "бэкдор" позволяют злоумышленнику производить загрузку файлов на машину-жертву.

Прочее

Червь запрограммирован на проведение в период с 27 по 30 апреля 2004 года DoS-атаки на следующие сервера:

www.educa.ch
www.medinfo.ufl.edu
www.nibis.de

Печать

Закладки

Вредоносные программы

Вирусы и черви

Email-Worm

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам электронной почты. В процессе размножения червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском веб-сайте).

В первом случае код червя активизируется при открытии (запуске) заражённого вложения, во втором — при открытии ссылки на заражённый файл. В обоих случаях эффект одинаков — активизируется код червя.

Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены:

прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку;
использование сервисов MS Outlook;
использование функций Windows MAPI.

Различные методы используются почтовыми червями для поиска почтовых адресов, на которые будут рассылаться зараженные письма. Почтовые черви:

рассылают себя по всем адресам, обнаруженным в адресной книге MS Outlook;
считывает адреса из адресной базы WAB;
сканируют «подходящие» файлы на диске и выделяет в них строки, являющиеся адресами электронной почты;
отсылают себя по всем адресам, обнаруженным в письмах в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма).

Многие черви используют сразу несколько из перечисленных методов. Встречаются также и другие способы поиска адресов электронной почты.

Другие модификации

Email-Worm.Win32.NetSky.aa

Email-Worm.Win32.NetSky.ac

Email-Worm.Win32.NetSky.af

Email-Worm.Win32.NetSky.b

Email-Worm.Win32.NetSky.c

Email-Worm.Win32.NetSky.d

Email-Worm.Win32.NetSky.e

Email-Worm.Win32.NetSky.m

Email-Worm.Win32.NetSky.o

Email-Worm.Win32.NetSky.q

Email-Worm.Win32.NetSky.r

Email-Worm.Win32.NetSky.t

Email-Worm.Win32.NetSky.x

Другие названия

Email-Worm.Win32.NetSky.y («Лаборатория Касперского») также известен как:

I-Worm.NetSky.y («Лаборатория Касперского»)
Virus: W32/Netsky.x@MM (McAfee)
W32/Netsky-Y (Sophos)
Worm.SomeFool.X (ClamAV)
W32/Netsky.X.worm (Panda)
W32/Netsky.X@mm (FPROT)
Worm:Win32/Netsky.X@mm (MS(OneCare))
Win32.HLLM.Netsky.based (DrWeb)
Win32/Netsky.X worm (Nod32)
Worm.Generic.65764 (BitDef7)
I-Worm.Netsky.BI (VirusBuster)
Win32:Netsky-BG [Wrm] (AVAST)
Email-Worm.Win32.NetSky (Ikarus)
I-Worm/Netsky.X (AVG)
WORM/NetSky.X (AVIRA)
W32.Netsky.X@mm (NAV)
Netsky.X@mm (Norman)
W32/Netsky.x@MM (NAI)
WORM_NETSKY.X (PCCIL)
Worm.NetSky.th (Rising)
Email-Worm.Win32.NetSky.y [AVP] (FSecure)
WORM_NETSKY.X (TrendMicro)
NetSky.y (Sunbelt)
I-Worm.Netsky.BI (VirusBusterBeta)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

securelist.com