Email-Worm.Win32.NetSky.x

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Email-Worm.Win32.NetSky.x («Лаборатория Касперского») также известен как: I-Worm.NetSky.x («Лаборатория Касперского»), W32/Netsky.w.eml!exe (McAfee), Win32.HLLM.Netsky.based (Doctor Web), Win32/Netsky.W@mm (RAV), Worm/Netsky.W.1 (H+BEDV), W32/Netsky.W@mm (FRISK), Win32.Netsky.W@mm (SOFTWIN), W32/Netsky.W.worm (Panda)

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь активизируется, если пользователь сам запускает зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.

Червь представляет собой PE EXE-файл. Написан на языке Microsoft Visual C++. Упакован UPX. Размер в упакованном виде — примерно 24 КБ, размер в распакованном виде — примерно 138 КБ.

Инсталляция

При инсталляции червь копирует себя в корневой каталог Windows с именем VisualGuard.exe:

%Windir%\VisualGuard.exe

Регистрирует этот файл в ключе автозапуска системного реестра:

 
 [HKLM\Software\Microsoft\Windows\
 CurrentVersion\Run]
  "NetDy"="%Windir%\VisualGuard.exe"

При каждой следующей загрузке Windows автоматически запустит файл червя.

Также червь создает следующие файлы в корневом каталоге Windows:

 
 %Windir%\base64.tmp
 %Windir%\zip1.tmp
 %Windir%\zip2.tmp
 %Windir%\zip3.tmp
 %Windir%\zip4.tmp
 %Windir%\zip5.tmp
 %Windir%\zip6.tmp
 %Windir%\zipped.tmp

Червь создает уникальный идентификатор «NetDy_Mutex_Psycho» для определения своего присутствия в системе.

Распространение через email

Для поиска адресов жертв червь сканирует файлы, имеющие следующие расширения:

 
 adb
 asp
 cgi
 dbx
 dhtm
 doc
 eml
 htm
 html
 jsp
 msg
 oft
 php
 pl
 rtf
 sht
 shtm
 tbb
 txt
 uin
 vbs
 wab
 wsh
 xml
 

Червь рассылает себя по всем найденным в файлах с расширениями из приведенного выше списка адресам электронной почты.

Для отправки писем червь использует собственную SMTP-библиотеку.

Характеристики зараженных писем

Червь рассылает зараженные письма с вложением. Письма имеют следующие характеристики:

Тема письма:

Выбирается и составляется произвольным образом из следующего списка:

 
 application
 approved
 bill
 corrected
 data
 details
 document
 document_all
 excel document
 file
 hello
 here
 hi
 important
 improved
 information
 letter
 message
 my
 patched
 product
 Re:
 read it immediately
 screensaver
 text
 thanks!
 website
 word document
 your

Текст письма:

Выбирается из списка:

 
 
 Authentication required.
 Get protected: www.symantec.com
 I have attached your document.
 I have received your document. 
 The corrected document is attached.
 No virus found
 Please confirm the document.
 Please read the attached file.
 Please read the document.
 Please read the important document.
 Please see the attached file for details.
 Powered by the new Norton OnlineScan
 Requested file.
 See the file.
 Your details.
 Your document is attached to this mail.
 Your document is attached.
 Your document.
 Your file is attached.

Подпись к письму:

Имя файла-вложения:

Выбирается из списка:

 
 application
 approved
 bill
 data
 details
 document
 document_all
 excel document
 file
 important
 improved
 information
 letter
 message
 product
 screensaver
 text
 website
 word document 

Вложения могут иметь одно из расширений:

 
 exe
 pif
 scr
 zip
 

Прочее

Если в ключе реестра:

 
 [HKLM\SOFTWARE\Microsoft\Windows\
 CurrentVersion\Run]

имеются следующие ключи и значения:

 
 DELETE ME
 Explorer
 msgsvr32
 Sentry
 service
 system
 Taskmon
 

То червь удаляет их из системного реестра Windows.

Также из ключа:

 
 [HKCU\SOFTWARE\Microsoft\Windows\
 CurrentVersion\Run]

удаляются следующие ключи и значения:

 
 au.exe
 d3dupdate.exe
 Explorer
 gouday.exe
 OLE
 PINF
 rate.exe
 srate.exe
 ssate.exe
 sysmon.exe
 Taskmon
 

Также удаляются следующие ключи:

 
 [HKLM\SOFTWARE\Microsoft\Windows\
 CurrentVersion\RunServices]
  "System"
 
 [HKLM\System\CurrentControlSet\Services]
  "WksPatch"   

Данные ключи и значения реестра связаны с другими почтовыми червями (некотрыми модификациями семейств Email-Worm.Win32.Bagle и Email-Worm.Win32.Mydoom).

Email-Worm.Win32.NetSky.x содержит следующие строки:

<*>NetDy: Thanks to the SkyNet alias NetSky crew for the sourcecode.

<*>NetDy: We have rewritten NetSky.

<*>NetDy: Thats a good tactic to detroy the bagle and mydoom worms.

<*>NetDy: Our group will continue the war.

<*>NetDy: Malware writers 'End' comes true.

<*>NetDy: Our Social Engineering is the best *lol* (You have no virus symantec says!).

<*>NetDy: ----------------------------------------------------------------------------

<*>NetDy: We are greeting all russia people!

USA SUCKS!!! AFGHAN SUCKS 2!!! BURN, SADDAM! BURN IN HELL! AND YOU, OSAMA BIN LADEN, BURN IN THE DEVILS FIRE 2!!! SHAME ON YOU MR. BUSH!!!

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.