RSS-каналы
Уровень опасности: 1
Email-Worm.Win32.NetSky.t
| Время детектирования | 05 апр 2004 19:40 MSK |
| Время выпуска обновления | 05 апр 2004 19:40 MSK |
| Описание опубликовано | 02 июн 2004 13:14 MSK |
Технические детали
Вирус-червь. Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам.
Червь является приложением Windows (PE EXE-файл), имеет размер около 18 KB, упакован UPX, написан на Microsoft Visual C++.
Содержание зараженных писем
Тема письма:
Выбирается произвольным образом из следующих:
Approved Hello Hi Important My details Re: Approved Re: Hello Re: Hi Re: Important Re: My details Re: Request Re: Thanks you! Re: Your details Re: Your document Re: Your information Request Thank you! Your details Your document Your information
Текст письма:
Выбирается и составляется произвольным образом из следующих значений:
Approved, here is the document. For more details see the attached document. For more information see the attached document. Hello! Here is the "...". Here is the document. Hi! I have found the "...". I have sent the "...". I have spent much time for the "...". I have spent much time for your document. My "..." is attached. My "...". Note that I have attached your document. Please have a look at the "...". Please have a look at the attached document. Please notice the attached "...". Please notice the attached document. Please read quickly. Please read the "...". Please read the attached document. Please see the "...". Please, "...". See the document for details. Thank you Thanks The "..." is attached. The "...". The requested "..." is attached! Your "..." is attached. Your "...". Your file is attached to this mail. Yours sincerely
Где вместо "..." червь подставляет произвольные слова из следующего набора:
abuse list account answer approved document approved file archive bill concept contact list corrected document description detailed document details developement diggest document e-mail excel document file final version homepage icq number important document improved document improved file info information instructions letter list mail message movie document new document note notice number list old document order personal message phone number photo document picture document postcard powerpoint document presentation document release report requested document sample secound document story summary text textfile user list word document
Вложение:
Файл с расширением "pif" и произвольным именем.
Червь активизируется, если пользователь сам запускает зараженный файл (при двойном щелчке на вложении).
Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.
Инсталляция
При инсталляции червь копирует себя с именем "EastAV.exe" в каталог Windows и регистрирует этот файл в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "EastAV"="%windir%\EastAV.exe"
Рассылка писем
Червь ищет файлы с расширениями из списка:
adb asp cfg cgi dbx dhtm doc eml htm html jsp mbx |
mdx mht mmf msg nch ods oft php pl ppt rtf sht |
shtm stm tbb txt uin vbs wab wsh xls xml |
Ищет в них адреса электронной почты и рассылает свои копии по найденным адресам.
Для отправки писем червь использует собственную SMTP-библиотеку.
Прочее
В зависимости от системной даты, червь пытается организовать DDoS-атаки на следующие сайты:
www.cracks.am www.emule.de www.freemule.net www.kazaa.com www.keygen.us
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам электронной почты. В процессе размножения червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском веб-сайте).
В первом случае код червя активизируется при открытии (запуске) заражённого вложения, во втором — при открытии ссылки на заражённый файл. В обоих случаях эффект одинаков — активизируется код червя.
Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены:
- прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку;
- использование сервисов MS Outlook;
- использование функций Windows MAPI.
Различные методы используются почтовыми червями для поиска почтовых адресов, на которые будут рассылаться зараженные письма. Почтовые черви:
- рассылают себя по всем адресам, обнаруженным в адресной книге MS Outlook;
- считывает адреса из адресной базы WAB;
- сканируют «подходящие» файлы на диске и выделяет в них строки, являющиеся адресами электронной почты;
- отсылают себя по всем адресам, обнаруженным в письмах в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма).
Многие черви используют сразу несколько из перечисленных методов. Встречаются также и другие способы поиска адресов электронной почты.
Email-Worm.
- I-Worm.
NetSky. t («Лаборатория Касперского») - Virus:
W32/Netsky. t@MM (McAfee) - Worm.
SomeFool. Gen-2 (ClamAV) - W32/Netsky.
T. worm (Panda) - W32/Worm!26f5 (FPROT)
- Worm:
Win32/Netsky. CY@mm. dam#4 (MS(OneCare)) - Win32.
HLLM. Netsky. 18432 (DrWeb) - Win32/Netsky worm (Nod32)
- I-Worm.
Netsky. FJ (VirusBuster) - Email-Worm.
Win32. NetSky (Ikarus) - Worm/Generic_r.
DB (AVG) - WORM/NetSky.
#1 (AVIRA) - Netsky.
T@mm (Norman) - Worm.
Mail. Win32. NetSky. daq (Rising) - Email-Worm.
Win32. NetSky. t [AVP] (FSecure) - WORM_NSKY.
DAM (TrendMicro) - I-Worm.
Netsky. FJ (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2010
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей