Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Червь активизируется, если пользователь сам запускает зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.
Червь представляет собой PE EXE-файл. Написан на языке Microsoft Visual C++. Упакован UPX. Размер в упакованном виде — примерно 24 КБ, размер в распакованном виде — примерно 138 КБ.
Инсталляция
При инсталляции червь копирует себя в корневой каталог Windows с именем VisualGuard.exe:
%Windir%\VisualGuard.exe
Регистрирует этот файл в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\ CurrentVersion\Run] "NetDy"="%Windir%\VisualGuard.exe"
При каждой следующей загрузке Windows автоматически запустит файл червя.
Также червь создает следующие файлы в корневом каталоге Windows:
%Windir%\base64.tmp %Windir%\zip1.tmp %Windir%\zip2.tmp %Windir%\zip3.tmp %Windir%\zip4.tmp %Windir%\zip5.tmp %Windir%\zip6.tmp %Windir%\zipped.tmp
Червь создает уникальный идентификатор «NetDy_Mutex_Psycho» для определения своего присутствия в системе.
Распространение через email
Для поиска адресов жертв червь сканирует файлы, имеющие следующие расширения:
adb asp cgi dbx dhtm doc eml htm html jsp msg oft php pl rtf sht shtm tbb txt uin vbs wab wsh xml
Червь рассылает себя по всем найденным в файлах с расширениями из приведенного выше списка адресам электронной почты.
Для отправки писем червь использует собственную SMTP-библиотеку.
Характеристики зараженных писем
Червь рассылает зараженные письма с вложением. Письма имеют следующие характеристики:
Тема письма:
Выбирается и составляется произвольным образом из следующего списка:
application approved bill corrected data details document document_all excel document file hello here hi important improved information letter message my patched product Re: read it immediately screensaver text thanks! website word document your
Текст письма:
Выбирается из списка:
Authentication required. Get protected: www.symantec.com I have attached your document. I have received your document. The corrected document is attached. No virus found Please confirm the document. Please read the attached file. Please read the document. Please read the important document. Please see the attached file for details. Powered by the new Norton OnlineScan Requested file. See the file. Your details. Your document is attached to this mail. Your document is attached. Your document. Your file is attached.
Подпись к письму:
Имя файла-вложения:
Выбирается из списка:
application approved bill data details document document_all excel document file important improved information letter message product screensaver text website word document
Вложения могут иметь одно из расширений:
exe pif scr zip
Прочее
Если в ключе реестра:
[HKLM\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run]
имеются следующие ключи и значения:
DELETE ME Explorer msgsvr32 Sentry service system Taskmon
То червь удаляет их из системного реестра Windows.
Также из ключа:
[HKCU\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run]
удаляются следующие ключи и значения:
au.exe d3dupdate.exe Explorer gouday.exe OLE PINF rate.exe srate.exe ssate.exe sysmon.exe Taskmon
Также удаляются следующие ключи:
[HKLM\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunServices] "System" [HKLM\System\CurrentControlSet\Services] "WksPatch"
Данные ключи и значения реестра связаны с другими почтовыми червями (некотрыми модификациями семейств Email-Worm.Win32.Bagle и Email-Worm.Win32.Mydoom).
Email-Worm.Win32.NetSky.x содержит следующие строки:
<*>NetDy: Thanks to the SkyNet alias NetSky crew for the sourcecode.
<*>NetDy: We have rewritten NetSky.
<*>NetDy: Thats a good tactic to detroy the bagle and mydoom worms.
<*>NetDy: Our group will continue the war.
<*>NetDy: Malware writers 'End' comes true.
<*>NetDy: Our Social Engineering is the best *lol* (You have no virus symantec says!).
<*>NetDy: ----------------------------------------------------------------------------
<*>NetDy: We are greeting all russia people!
USA SUCKS!!! AFGHAN SUCKS 2!!! BURN, SADDAM! BURN IN HELL! AND YOU, OSAMA BIN LADEN, BURN IN THE DEVILS FIRE 2!!! SHAME ON YOU MR. BUSH!!!
Первое — находим постоянно, второе — ждем вас