RSS-каналы
Уровень опасности: 1
Email-Worm.Win32.NetSky.ac
| Время детектирования | 28 апр 2004 19:12 MSK |
| Время выпуска обновления | 03 май 2004 20:08 MSK |
| Описание опубликовано | 28 апр 2004 19:12 MSK |
Технические детали
Вирус-червь. Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам, а также через расшаренные ресурсы.
Червь является приложением Windows (PE EXE-файл), запакован PE_Patch. В запакованном виде имеет размер 17920 байт, в распакованном - более 1,5 MB.
Написан на Microsoft Visual C.
Содержание зараженных писем
Тема письма:
Выбирается произвольным образом из следующих вариантов:
Correction Criminal Found Funny Hurts Letter Letter Money More samples Numbers Only love? Password Picture Pictures Privacy Question Stolen Text Wow
Текст письма:
Выбирается произвольным образом из строк:
Are your numbers correct? Do you have asked me? Do you have more photos about you? Do you have more samples? Do you have no money? Do you have written the letter? Does it hurt you? Hey, are you criminal? How can I help you? I've found your creditcard. Check the data! I've your password. Take it easy! Please use the font arial! Still? The text you sent to me is not so good! True love letter? Why do you show your body? Wow! Why are you so shy? You have no chance... Your pictures are good!
Имя вложения:
Выбирается произвольным образом из вариантов:
all_pictures.pif corrected_doc.pif document1.pif hurts.pif image034.pif loveletter02.pif my_stolen_document.pif myabuselist.pif passwords02.pif pin_tel.pif visa_data.pif your_bill.pif your_letter.pif your_letter_03.pif your_picture.pif your_picture.pif your_picture01.pif your_text.pif your_text01.pif
Червь активизируется только если пользователь сам запускает зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.
Рассылка писем
При рассылке зараженных писем червь использует прямое подключение к SMTP-серверу.
Инсталляция
При инсталляции червь копирует себя в каталог Windows с именем "csrss.exe" и регистрирует этот файл в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run\BagleAV]
пытаясь выдать себя за антивирус червя Bagle.
Пытается удалить ключи реестра, которые были записаны червем I-Worm.Bagle.y.
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам электронной почты. В процессе размножения червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском веб-сайте).
В первом случае код червя активизируется при открытии (запуске) заражённого вложения, во втором — при открытии ссылки на заражённый файл. В обоих случаях эффект одинаков — активизируется код червя.
Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены:
- прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку;
- использование сервисов MS Outlook;
- использование функций Windows MAPI.
Различные методы используются почтовыми червями для поиска почтовых адресов, на которые будут рассылаться зараженные письма. Почтовые черви:
- рассылают себя по всем адресам, обнаруженным в адресной книге MS Outlook;
- считывает адреса из адресной базы WAB;
- сканируют «подходящие» файлы на диске и выделяет в них строки, являющиеся адресами электронной почты;
- отсылают себя по всем адресам, обнаруженным в письмах в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма).
Многие черви используют сразу несколько из перечисленных методов. Встречаются также и другие способы поиска адресов электронной почты.
Email-Worm.
- I-Worm.
NetSky. ac («Лаборатория Касперского») - Virus:
W32/Netsky@MM!a (McAfee) - Virus:
W32/Netsky. ab@MM (McAfee) - Mal/Generic-L (Sophos)
- Trojan:
Win32/Bumat!rts (MS(OneCare)) - archive damaged - the file could not be extracted.
(Nod32) - Worm.
Generic. 241122 (BitDef7) - Worm.
Generic. 23299 (BitDef7) - FILE_BROKEN (VirusBuster)
- RAR archive is corrupted (AVAST)
- Email-Worm.
Win32. NetSky (Ikarus) - WORM/Agent.
48128. 6 (AVIRA) - Malformed container violation (NAV)
- W32.
Netsky. P@mm (NAV) - Suspicious_Gen2.
BBGVN (Norman) - Email-Worm.
Win32. NetSky. ac [AVP] (FSecure) - Trojan.
Win32. Generic!BT (Sunbelt) - FILE_BROKEN (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей