English
Deutsch
Francais
Español
Italian
Home
Virus Info
Worm/NetSky.AA
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
Worm/NetSky.AA - Worm
это описание доступно в
Резюме
Подробное описание
Статистика
How would you rate this information?
Worthless
Excellent
Имя:
Worm/NetSky.AA
Обнаружен:
22/05/2005
Вид:
Червь
В реальных условиях:
Да
Отмеченные факты заражения:
Средний
Потенциал распространения:
Средний
Потенциал повреждений:
Низкий
Файл статистики:
Да
Размер файла:
27.136 байт.
Контрольная сумма MD5:
c43fa1b082302f3b8e01d77fb95c78c6
Версия VDF:
6.25.00.34
Общее
Метод распространения:
• Email
Псевдонимы (аliases):
• Symantec: W32.Netsky.Z@mm
• Mcafee: W32/Netsky
• Kaspersky: Email-Worm.Win32.NetSky.aa
• TrendMicro: WORM_NETSKY.Z
• F-Secure: W32/Netsky.AK@mm
• Grisoft: I-Worm/Netsky.Z
• VirusBuster: I-Worm.NetSky.Z1
• Bitdefender: Win32.Netsky.AA@mm
Операционные системы:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Последствия:
• Использует собственный почтовый движок
• Изменение реестра
Файлы
Создается собственная копия:
•
%WINDIR%
\Jammer2nd.exe
Создаются следующие файлы:
– Создается следующий архивный файл с копией вредоносной программы:
•
%WINDIR%
\pk_zip_alg.log
– MIME зашифровала собственную копию:
•
%WINDIR%
\pk_zip1.log
•
%WINDIR%
\pk_zip2.log
•
%WINDIR%
\pk_zip3.log
•
%WINDIR%
\pk_zip4.log
•
%WINDIR%
\pk_zip5.log
•
%WINDIR%
\pk_zip6.log
•
%WINDIR%
\pk_zip7.log
•
%WINDIR%
\pk_zip8.log
Реестр
Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "Jammer2nd"="
%WINDIR%
\Jammer2nd.exe"
Email
Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:
От:
Адрес отправителя был фальсифицирован.
Генерированные адреса. Отправитель мог не иметь намерения отправлять это письмо. Он может ничего не знать об инфицировании свой системы. Вы можете получать письма с утверждением об инфицировании Вашей системы.
Кому:
– В определенных файлах системы были обнаружены электронные адреса.
– Полученные из WAB (адресная книга Windows) адреса электронной почты
Получателем письма является:
• jamainlbbbsdef@yahoo.com
Тема:
Одно из следующих:
• Document
• Hello
• Hi
• Important
• Information
Тело:
Тело письма имеет один из следующих видов:
• Important bill!
• Important data!
• Important details!
• Important document!
• Important informations!
• Important notice!
• Important textfile!
• Important!
Прикрепленный файл:
Одно из следующих имен прикрепленного файла:
• Bill.zip
• Data.zip
• Details.zip
• Important.zip
• Informations.zip
• Notice.zip
• Part-2.zip
• Textfile.zip
Отправка
Поиск адресов:
Проверка следующих файлов на наличие в них электронных адресов:
• .ppt; .xml; .wsh; .jsp; .msg; .oft; .sht; .nch; .mmf; .mht; .dbx;
.tbb; .adb; .xls; .stm; .ods; .dhtm; .cgi; .shtm; .uin; .rtf; .vbs;
.php; .txt; .eml; .doc; .wab; .asp; .html; .htm; .pl; .mdx; .mbx; .cfg
Связывается с DNS:
В случае неудачи выполнения запроса со стандартным DNS выполняется попытка подключения к следующему.
Имеется возможность связаться со следующими DNS серверами:
• 212.44.160.8; 195.185.185.195; 151.189.13.35; 213.191.74.19;
193.189.244.205; 145.253.2.171; 193.141.40.42; 194.25.2.134;
194.25.2.133; 194.25.2.132; 194.25.2.131; 193.193.158.10;
212.7.128.165; 212.7.128.162; 193.193.144.12; 217.5.97.137;
195.20.224.234; 194.25.2.130; 194.25.2.129; 212.185.252.136;
212.185.253.70; 212.185.252.73
Backdoor
Открывается порт:
–
%выполненный файл%
по TCP порту 665 для обеспечения backdoor функции.
DoS
02/05/2004 запускаются DoS атаки против следующеих целей:
• www.nibis.de
• www.medinfo.ufl.edu
• www.educa.ch
Разное
Мьютекс:
Создается мьютекс:
• (S)(k)(y)(N)(e)(t)
Строка:
Здесь содержится следующая последовательность:
• :::::::::::They never learn it!:::::::::::
Данные файла
Язык программирования:
Программа была написана на MS Visual C++.
Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
• ASPack 2.11c
Краткое описание см.
здесь
.
Описание добавлено: Razvan Olteanu Mon, 29 Aug 2005 15:41 (GMT+1)
Описание обновлено: Andrei Ivanes Tue, 14 Mar 2006 08:36 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
Worm/Mytob.AD
TR/Crypt.CFI.Gen
Worm/Bagle.FJ
Worm/Klez.E
W32/Elkern.C
TR/Dldr.VB.FSW
DR/Dldr.VB.VYP
TR/Dldr.Renos.CH
TR/Buzus.iij
TR/Dldr.Banload.ins
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2009 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Virus Info Worm/NetSky.AA
Print this page
.gif)
