Security Lab

Email-Worm.Win32.NetSky.x

Email-Worm.Win32.NetSky.x

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Email-Worm.Win32.NetSky.x («Лаборатория Касперского») также известен как: I-Worm.NetSky.x («Лаборатория Касперского»), W32/Netsky.w.eml!exe (McAfee), Win32.HLLM.Netsky.based (Doctor Web), Win32/Netsky.W@mm (RAV), Worm/Netsky.W.1 (H+BEDV), W32/Netsky.W@mm (FRISK), Win32.Netsky.W@mm (SOFTWIN), W32/Netsky.W.worm (Panda)

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь активизируется, если пользователь сам запускает зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.

Червь представляет собой PE EXE-файл. Написан на языке Microsoft Visual C++. Упакован UPX. Размер в упакованном виде — примерно 24 КБ, размер в распакованном виде — примерно 138 КБ.

Инсталляция

При инсталляции червь копирует себя в корневой каталог Windows с именем VisualGuard.exe:

%Windir%\VisualGuard.exe

Регистрирует этот файл в ключе автозапуска системного реестра:

  
  [HKLM\Software\Microsoft\Windows\
  CurrentVersion\Run]
   "NetDy"="%Windir%\VisualGuard.exe"

При каждой следующей загрузке Windows автоматически запустит файл червя.

Также червь создает следующие файлы в корневом каталоге Windows:

  
  %Windir%\base64.tmp
  %Windir%\zip1.tmp
  %Windir%\zip2.tmp
  %Windir%\zip3.tmp
  %Windir%\zip4.tmp
  %Windir%\zip5.tmp
  %Windir%\zip6.tmp
  %Windir%\zipped.tmp

Червь создает уникальный идентификатор «NetDy_Mutex_Psycho» для определения своего присутствия в системе.

Распространение через email

Для поиска адресов жертв червь сканирует файлы, имеющие следующие расширения:

  
  adb
  asp
  cgi
  dbx
  dhtm
  doc
  eml
  htm
  html
  jsp
  msg
  oft
  php
  pl
  rtf
  sht
  shtm
  tbb
  txt
  uin
  vbs
  wab
  wsh
  xml
  

Червь рассылает себя по всем найденным в файлах с расширениями из приведенного выше списка адресам электронной почты.

Для отправки писем червь использует собственную SMTP-библиотеку.

Характеристики зараженных писем

Червь рассылает зараженные письма с вложением. Письма имеют следующие характеристики:

Тема письма:

Выбирается и составляется произвольным образом из следующего списка:

  
  application
  approved
  bill
  corrected
  data
  details
  document
  document_all
  excel document
  file
  hello
  here
  hi
  important
  improved
  information
  letter
  message
  my
  patched
  product
  Re:
  read it immediately
  screensaver
  text
  thanks!
  website
  word document
  your

Текст письма:

Выбирается из списка:

  
  
  Authentication required.
  Get protected: www.symantec.com
  I have attached your document.
  I have received your document. 
  The corrected document is attached.
  No virus found
  Please confirm the document.
  Please read the attached file.
  Please read the document.
  Please read the important document.
  Please see the attached file for details.
  Powered by the new Norton OnlineScan
  Requested file.
  See the file.
  Your details.
  Your document is attached to this mail.
  Your document is attached.
  Your document.
  Your file is attached.

Подпись к письму:

Имя файла-вложения:

Выбирается из списка:

  
  application
  approved
  bill
  data
  details
  document
  document_all
  excel document
  file
  important
  improved
  information
  letter
  message
  product
  screensaver
  text
  website
  word document 

Вложения могут иметь одно из расширений:

  
  exe
  pif
  scr
  zip
  

Прочее

Если в ключе реестра:

  
  [HKLM\SOFTWARE\Microsoft\Windows\
  CurrentVersion\Run]

имеются следующие ключи и значения:

  
  DELETE ME
  Explorer
  msgsvr32
  Sentry
  service
  system
  Taskmon
  

То червь удаляет их из системного реестра Windows.

Также из ключа:

  
  [HKCU\SOFTWARE\Microsoft\Windows\
  CurrentVersion\Run]

удаляются следующие ключи и значения:

  
  au.exe
  d3dupdate.exe
  Explorer
  gouday.exe
  OLE
  PINF
  rate.exe
  srate.exe
  ssate.exe
  sysmon.exe
  Taskmon
  

Также удаляются следующие ключи:

  
  [HKLM\SOFTWARE\Microsoft\Windows\
  CurrentVersion\RunServices]
   "System"
  
  [HKLM\System\CurrentControlSet\Services]
   "WksPatch"   

Данные ключи и значения реестра связаны с другими почтовыми червями (некотрыми модификациями семейств Email-Worm.Win32.Bagle и Email-Worm.Win32.Mydoom).

Email-Worm.Win32.NetSky.x содержит следующие строки:

<*>NetDy: Thanks to the SkyNet alias NetSky crew for the sourcecode.

<*>NetDy: We have rewritten NetSky.

<*>NetDy: Thats a good tactic to detroy the bagle and mydoom worms.

<*>NetDy: Our group will continue the war.

<*>NetDy: Malware writers 'End' comes true.

<*>NetDy: Our Social Engineering is the best *lol* (You have no virus symantec says!).

<*>NetDy: ----------------------------------------------------------------------------

<*>NetDy: We are greeting all russia people!

USA SUCKS!!! AFGHAN SUCKS 2!!! BURN, SADDAM! BURN IN HELL! AND YOU, OSAMA BIN LADEN, BURN IN THE DEVILS FIRE 2!!! SHAME ON YOU MR. BUSH!!!

Ищем уязвимости в системе и новых подписчиков!

Первое — находим постоянно, второе — ждем вас

Эксплойтните кнопку подписки прямо сейчас