Email-Worm.Win32.NetSky.x

Технические детали

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь активизируется, если пользователь сам запускает зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.

Червь представляет собой PE EXE-файл. Написан на языке Microsoft Visual C++. Упакован UPX. Размер в упакованном виде — примерно 24 КБ, размер в распакованном виде — примерно 138 КБ.

Инсталляция

При инсталляции червь копирует себя в корневой каталог Windows с именем VisualGuard.exe:

%Windir%\VisualGuard.exe

Регистрирует этот файл в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 "NetDy"="%Windir%\VisualGuard.exe"

При каждой следующей загрузке Windows автоматически запустит файл червя.

Также червь создает следующие файлы в корневом каталоге Windows:

%Windir%\base64.tmp
%Windir%\zip1.tmp
%Windir%\zip2.tmp
%Windir%\zip3.tmp
%Windir%\zip4.tmp
%Windir%\zip5.tmp
%Windir%\zip6.tmp
%Windir%\zipped.tmp

Червь создает уникальный идентификатор «NetDy_Mutex_Psycho» для определения своего присутствия в системе.

Распространение через email

Для поиска адресов жертв червь сканирует файлы, имеющие следующие расширения:

adb
asp
cgi
dbx
dhtm
doc
eml
htm
html
jsp
msg
oft
php
pl
rtf
sht
shtm
tbb
txt
uin
vbs
wab
wsh
xml

Червь рассылает себя по всем найденным в файлах с расширениями из приведенного выше списка адресам электронной почты.

Для отправки писем червь использует собственную SMTP-библиотеку.

Характеристики зараженных писем

Червь рассылает зараженные письма с вложением. Письма имеют следующие характеристики:

Тема письма:

Выбирается и составляется произвольным образом из следующего списка:

application
approved
bill
corrected
data
details
document
document_all
excel document
file
hello
here
hi
important
improved
information
letter
message
my
patched
product
Re:
read it immediately
screensaver
text
thanks!
website
word document
your

Текст письма:

Выбирается из списка:

Authentication required.
Get protected: www.symantec.com
I have attached your document.
I have received your document. The corrected document is attached.
No virus found
Please confirm the document.
Please read the attached file.
Please read the document.
Please read the important document.
Please see the attached file for details.
Powered by the new Norton OnlineScan
Requested file.
See the file.
Your details.
Your document is attached to this mail.
Your document is attached.
Your document.
Your file is attached.
Подпись к письму:

Имя файла-вложения:

Выбирается из списка:

application
approved
bill
data
details
document
document_all
excel document
file
important
improved
information
letter
message
product
screensaver
text
website
word document

Вложения могут иметь одно из расширений:

exe
pif
scr
zip

Прочее

Если в ключе реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

имеются следующие ключи и значения:

DELETE ME
Explorer
msgsvr32
Sentry
service
system
Taskmon

То червь удаляет их из системного реестра Windows.

Также из ключа:

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

удаляются следующие ключи и значения:

au.exe
d3dupdate.exe
Explorer
gouday.exe
OLE
PINF
rate.exe
srate.exe
ssate.exe
sysmon.exe
Taskmon

Также удаляются следующие ключи:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
 "System"

[HKLM\System\CurrentControlSet\Services]
 "WksPatch"

Данные ключи и значения реестра связаны с другими почтовыми червями (некотрыми модификациями семейств Email-Worm.Win32.Bagle и Email-Worm.Win32.Mydoom).

Email-Worm.Win32.NetSky.x содержит следующие строки:

<*>NetDy: Thanks to the SkyNet alias NetSky crew for the sourcecode.
<*>NetDy: We have rewritten NetSky.
<*>NetDy: Thats a good tactic to detroy the bagle and mydoom worms.
<*>NetDy: Our group will continue the war.
<*>NetDy: Malware writers 'End' comes true.
<*>NetDy: Our Social Engineering is the best *lol* (You have no virus symantec says!).
<*>NetDy: ----------------------------------------------------------------------------
<*>NetDy: We are greeting all russia people!
USA SUCKS!!! AFGHAN SUCKS 2!!! BURN, SADDAM! BURN IN HELL! AND YOU,
OSAMA BIN LADEN,
BURN IN THE DEVILS FIRE 2!!!
SHAME ON YOU MR. BUSH!!!