RSS-каналы
Уровень опасности: 1
Email-Worm.Win32.NetSky.aa
| Время детектирования | 02 июн 2004 13:06 MSK |
| Время выпуска обновления | 26 мар 2010 00:37 MSK |
| Описание опубликовано | 02 июн 2004 13:06 MSK |
Технические детали
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма.
Обладает функцией "бэкдора" и способен осуществлять DoS-атаки на определенные сайты.
Представляет собой PE EXE-файл, размером около 20 KB. Упакован UPX.
Инсталляция
Копирует себя в каталог Windows под именем "Jammer2nd.exe" и регистрирует данный файл в ключе автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Jammer2nd"="%windir%\jammer2nd.exe"
Также червь создает в каталоге Windows файлы "PK_ZIP_ALG.LOG" и "PK_ZIP.LOG".
Данные файлы представляют собой копии червя в формате UUE, а также ZIP-архив, содержащие копии червя.
Червь создает уникальный идентификатор "(S)(k)(y)(N)(e)(t)" для определения своего присутствия в памяти.
Размножение через email
Червь ищет на всех доступных дисках файлы с расширениями из списка:
adb asp cfg cgi dbx dhtm doc eml htm html jsp |
mbx mdx mht mmf msg nch ods oft php pl ppt |
rtf sht shtm stm tbb txt uin vbs wab wsh xls |
Ищет в них адреса электронной почты и рассылает свои копии по найденным адресам. Для отправки писем червь использует собственную SMTP-библиотеку. Червь пытается осуществить прямое подключение к серверу получателя зараженного письма.
Содержимое зараженных писем
Зараженные письма формируются из произвольных комбинаций.
Адрес отправителя
Выбирается произвольно из числа найденных на зараженной машине.
Тема письма
Выбирается из списка:
Hello Hi Important Important bill! Important data! Important details! Important document! Important informations! Important notice! Important textfile! Important! Information
Имя вложения
Выбирается из списка:
Bill.zip Data.zip Details.zip Important.zip Informations.zip Notice.zip Part-2.zip Textfile.zip
Вложения
Вложенные архивы могут иметь следующие имена:
Bill.txt.exe Data.txt.exe Details.txt.exe Important.txt.exe Informations.txt.exe Notice.txt.exe Part-2.txt.exe Textfile.txt.exe
Прочее
Червь открывает на зараженной машине порт TCP 665 для приема произвольных файлов и их запуска.
В зависимости от системных часов червь может осуществлять DoS-атаки на следующие сайты:
www.educa.ch www.medinfo.ufl.edu www.nibis.de
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам электронной почты. В процессе размножения червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском веб-сайте).
В первом случае код червя активизируется при открытии (запуске) заражённого вложения, во втором — при открытии ссылки на заражённый файл. В обоих случаях эффект одинаков — активизируется код червя.
Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены:
- прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку;
- использование сервисов MS Outlook;
- использование функций Windows MAPI.
Различные методы используются почтовыми червями для поиска почтовых адресов, на которые будут рассылаться зараженные письма. Почтовые черви:
- рассылают себя по всем адресам, обнаруженным в адресной книге MS Outlook;
- считывает адреса из адресной базы WAB;
- сканируют «подходящие» файлы на диске и выделяет в них строки, являющиеся адресами электронной почты;
- отсылают себя по всем адресам, обнаруженным в письмах в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма).
Многие черви используют сразу несколько из перечисленных методов. Встречаются также и другие способы поиска адресов электронной почты.
Email-Worm.
- I-Worm.
NetSky. aa («Лаборатория Касперского») - Trojan:
Generic Malware. a!zip (McAfee) - W32/Flcss (Sophos)
- Suspect.
DoubleExtension-zippwd-9 (ClamAV) - W32/FunLove.
4096 (Panda) - W32/FunLove.
4099 (FPROT) - Virus:
Win32/Funlove. 4099 (MS(OneCare)) - Win32.
HLLM. Netsky (DrWeb) - Win32/FunLove.
4070 virus (Nod32) - Win32.
Netsky. AA@mm (BitDef7) - Win32.
FunLove. 4070 (VirusBuster) - Win32:
Netsky-CD [Wrm] (AVAST) - Email-Worm.
Win32. NetSky (Ikarus) - I-Worm/Netsky (AVG)
- W32/FunLove.
4099 (AVIRA) - W32.
FunLove. 4099 (NAV) - Netsky.
Z@mm (Norman) - Win32.
FunLove (Rising) - Win32.
FunLove. 4099 (v) (Sunbelt) - Win32.
FunLove. 4070 (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей