RSS-каналы
Уровень опасности: 1
Email-Worm.Win32.NetSky.af
| Время детектирования | 15 окт 2004 17:51 MSK |
| Время выпуска обновления | 15 окт 2004 17:51 MSK |
| Описание опубликовано | 24 июн 2005 19:30 MSK |
Технические детали
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также через файлообменные сети. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Червь представляет собой PE EXE-файл. Упакован UPX. Размер в упакованном виде — примерно 31 КБ, размер в распакованном виде — примерно 103 КБ.
Инсталляция
После запуска червь выдает окно, содержащее следующую ошибку:
При инсталляции червь копирует себя в корневой каталог Windows с именем MsnMsgrs.exe:
%Windir%\MsnMsgrs.exe
Затем он регистрирует этот файл в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "MsnMsgr"="%Windir%\MsnMsgrs.exe -alev"
При каждой следующей загрузке Windows автоматически запустит файл червя.
Также в корневом каталоге Windows червь создает следующие zip-файлы, содержащие копию червя:
%Windir%\agua!.zip %Windir%\AIDS!.zip %Windir%\aqui.zip %Windir%\banco!.zip %Windir%\bingos!.zip %Windir%\botao.zip %Windir%\brasil!.zip %Windir%\carros!.zip %Windir%\circular.zip %Windir%\contas!!.zip %Windir%\criancas!.zip %Windir%\dinheiro!!.zip %Windir%\docs.zip %Windir%\email.zip %Windir%\festa!!.zip %Windir%\flipe.zip %Windir%\grana!!.zip %Windir%\grana.zip %Windir%\imposto.zip %Windir%\impressao!!.zip %Windir%\jogo!.zip %Windir%\lantrocidade.zip %Windir%\LINUSTOR.zip %Windir%\loterias.zip %Windir%\lulao!.zip %Windir%\missao.zip %Windir%\revista.zip %Windir%\sampa!!.zip %Windir%\sorteado!!.zip %Windir%\tetas.zip %Windir%\vaca.zip %Windir%\vadias!.zip %Windir%\vips!.zip %Windir%\voce.zip %Windir%\war3!.zip %Windir%\zerado.zip
Червь создает уникальный идентификатор «MutexAninha22apr» для определения своего присутствия в системе.
Распространение через email
Для поиска адресов жертв червь сканирует файлы, имеющие следующие расширения:
SCS adb asp dbx doc eml htm html oft php pl rtf sht tbb txt uin vbs wab
Затем червь рассылает себя по всем найденным в этих файлах адресам электронной почты. Для отправки писем червь использует собственную SMTP-библиотеку.
Характеристики зараженных писем
Червь активизируется, если пользователь сам запускает зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.
Зараженные письма имеют следующие характеристики:
Тема письма:
Выбирается из списка:
:( :) :-) :D ??? 0123456789 agradou agua! AIDS! AninhaPutinha +55operado6992292246 aqui banco! bingos! botao brasil! carros! circular contas!! criancas! diga dinheiro!! docs email festa!! flipe grana grana!! imposto impressao!! jogo! lantrocidade LINUSTOR loterias lulao! massas! missao morto pescaria por kilo revista robos! sampa!! sorteado!! Sua saude esta bem? tetas vaca vadias! vips! voce war3! zerado
Текст письма:
Выбирается из списка:
Abra rapido isso!!!! acrdito que em voce!!! algo a mais AMA! AmaVoce amor me liga arquivo zipado PGP??? Boleto Pague campanhadafome encontro voce! estou doente veja!!! falea verdade!!! ferias nos E.U.A ganhe muita grana gostaria disso e voce??? grana Hackers do Brasil Lembra? me diz o queacha? me veja peladinha Medical Labs Exames!!! meu telefone liga olha que isso!!! parabens! PizzaVeneza! Policia SP pq nao me liga?? preenche ai ta bom promocao de viajens de fim de ano Proposta de emprego!! receitas de bolo!! retorna logo isso!! reza de sao tome!!!! sinto voce!! sua conta bancaria zerada Sua Conta!! Surto :( te amo! tudo sobre voce sabe Vacina contra o HIV!! ve ai logo ta veja detalhes!!! veja o que tem no zip e me liga voce passou :D!!!
Имя файла-вложения:
Выбирается из списка:
agua! AIDS! aqui banco! bingos! botao brasil! carros! circular contas!! criancas! dinheiro!! docs email festa!! flipe grana grana!! imposto jogo! lantrocidade LINUSTOR loterias lulao! missao revista sampa!! sorteado!! tetas vaca vadias! vips! voce war3!
Вложения могут иметь одно или несколько расширений, выбираемых из следующего списка:
bat com doc htm pif rtf scr txt zip
Распространение через файлообменный сети
Червь создает свои копии во всех подкаталогах, содержащих в своем названии слова «Share» или «Sharing» с именами, выбираемыми из списка:
aninha gatinha!.zip.scr barrio.scr cafe!!.zip.scr Canaval2004!.jpg.pif Carnaval em Salvador!!.zip.scr caspa.scr celulares!!.zip.scr clica ai logo meu.scr comoserrico!.zip.scr importante!!!!!.zip.scr minhavida!.zip.exe MulataDandoOcujpg.scr multas.pif paula!.scr puteiros!!.scr receitas de bolo!!.zip.scr rede globo tv!.zip.scr ResidentEvil2.zip.scr rocha.scr traficoemSP!.scr vadias peladas!!.scr vida!!.zip.scr VivaNaBaia!.scr vota!.zip.scr
Прочее
Если в ключе реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
имеются следующие ключи и значения:
Explorer KasperskyAv system Taskmon
То червь удаляет их из системного реестра Windows.
Также из ключа:
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
удаляются следующие ключи и значения:
Explorer Taskmon
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам электронной почты. В процессе размножения червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском веб-сайте).
В первом случае код червя активизируется при открытии (запуске) заражённого вложения, во втором — при открытии ссылки на заражённый файл. В обоих случаях эффект одинаков — активизируется код червя.
Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены:
- прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку;
- использование сервисов MS Outlook;
- использование функций Windows MAPI.
Различные методы используются почтовыми червями для поиска почтовых адресов, на которые будут рассылаться зараженные письма. Почтовые черви:
- рассылают себя по всем адресам, обнаруженным в адресной книге MS Outlook;
- считывает адреса из адресной базы WAB;
- сканируют «подходящие» файлы на диске и выделяет в них строки, являющиеся адресами электронной почты;
- отсылают себя по всем адресам, обнаруженным в письмах в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма).
Многие черви используют сразу несколько из перечисленных методов. Встречаются также и другие способы поиска адресов электронной почты.
Email-Worm.
- I-Worm.
Netsky. af («Лаборатория Касперского») - Virus:
W32/Netsky. ag@MM (McAfee) - W32/Netsky-AD (Sophos)
- Worm.
SomeFool. AD (ClamAV) - W32/Netsky.
AG. worm (Panda) - W32/Netsky.
AH@mm (FPROT) - Worm:
Win32/Netsky. AF@mm (MS(OneCare)) - Win32.
HLLM. Netsky. 18688 (DrWeb) - Win32/Netsky.
B1 worm (Nod32) - Win32.
Netsky. B@mm (BitDef7) - I-Worm.
Netsky. AD (VirusBuster) - Win32:
Netsky-AD [Wrm] (AVAST) - Email-Worm.
Win32. NetSky (Ikarus) - I-Worm/Netsky.
AE (AVG) - WORM/NetSky.
AG (AVIRA) - W32.
Netsky. AD@mm (NAV) - Netsky.
AD@mm (Norman) - W32/Netsky.
ag@MM (NAI) - WORM_NETSKY.
AF (PCCIL) - Worm.
NetSky. tk (Rising) - Email-Worm.
Win32. NetSky. af [AVP] (FSecure) - WORM_NETSKY.
AF (TrendMicro) - Netsky (Sunbelt)
- I-Worm.
NetSky. ad (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей