Описание
Win32.HLLM.Netsky.18348 [Netsky.W] - почтовый червь массовой рассылки. Поражает компьютеры под управлением операционных систем Windows 95/98/Me/NT/2000/XP. Размер исполняемого модуля червя в упакованном виде (компрессионной утилитой UPX) – 24 064 байт.
Червь распространяется по электронной почте, используя собственную реализацию протокола SMTP. В пораженном компьютере удаляет из системного реестра ключи, модифицируемые другими червями и троянскими программами.
Запуск вируса
Чтобы обеспечить автоматический запуск своей копии при каждой перезагрузке Windows червь вносит данные
\\\\\\\"NetDy\\\\\\\"=\\\\\\\"%WinDir%\\\\\\\\VisualGuard.exe\\\\\\\"
в реестровую запись
HKEY_LOCAL_MACHINE\\\\\\\\SOFTWARE\\\\\\\\Microsoft\\\\\\\\Windows\\\\\\\\CurrentVersion\\\\\\\\Run
Распространение
Адреса для почтовой рассылки червь извлекает из файлов со следующими расширениями:
.adb
.asp
.cgi
.dbx
.dhtm
.doc
.eml
.htm
.html
.jsp
.msg
.oft
.php
.pl
.rtf
.sht
.shtm
.tbb
.txt
.uin
.vbs
.wab
.wsh
.xml
Почтовое сообщение, инфицированное червем, может выглядеть следующим образом. Тема сообщения состоит из нескольких частей.
1 часть:
Re:
Re: Re:
2 часть
my
your
read it immediately
important
improved
patched
corrected
approved
thanks!
hello
hi
here
document_all
text
message
data
excel document
word document
bill
screensaver
application
website
product
letter
information
details
file
document
important
approved
Текст сообщения
может быть одним из следующих:
Your details.
Your document.
I have received your document. The corrected document is attached.
I have attached your document.
Your document is attached to this mail.
Authentication required.
Requested file.
See the file.
Please read the important document.
Please confirm the document.
Your file is attached.
Please read the document.
Your document is attached.
Please read the attached file.
Please see the attached file for details.
Сообщение может заканчиваться своеобразной подписью:
--------------------------------------------
[вложение]: No virus found
Powered by the new Norton OnlineScan
Get protected: www.symantec.com
и логотипом компании Symantec.
Наименование вложения:
document_all_%s
text_%s
message_%s
data_%s
excel document_%s
word document_%s
bill_%s
screensaver_%s
application_%s
website_%s
product_%s
letter_%s
information_%s
details_%s
file_%s
document_%s
где %s – часть почтового адреса получателя перед символом @.
Расширение вложения может быть .zip, .scr, .exe или .pif.
Действия
Будучи активированным, червь создает семафор “NetDy_Mutex_Psycho”. В директорию Windows (в Windows 9x/ME/XP это C:\\\\\\\\Windows, в Windows NT/2000 это C:\\\\\\\\WINNT ) червь помещает свою копию VisualGuard.exe.
В той же директории червь создает еще несколько файлов:
- base64.tmp – копия червя в кодировке base64, которую он рассылает по электронной почте
- zip1.tmp, zip2.tmp, zip3.tmp, zip4.tmp, zip5.tmp, zip6.tmp – заархивированные копии червя в кодировке base64
- zipped.tmp – временная копия червя в формате WinZip
- Удаляет данные
Explorer
System.
msgsvr32
Service
DELETE ME
Sentry
Taskmon
Windows Services Host
из реестровой записи
HKLM\\\\\\\\SOFTWARE\\\\\\\\Microsoft\\\\\\\\Windows\\\\\\\\CurrentVersion\\\\\\\\Run\\\\\\\\ - Удаляет данные
Explorer
au.exe
d3dupdate.exe
OLE
gouday.exe
rate.exe
Windows Services Host
Taskmon
sysmon.exe
srate.exe
ssate.exe из реестровой записи
HKCU\\\\\\\\SOFTWARE\\\\\\\\Microsoft\\\\\\\\Windows\\\\\\\\CurrentVersion\\\\\\\\Run\\\\\\\\ -
Удаляет данные
System.
из реестровой записи
HKLM\\\\\\\\SOFTWARE\\\\\\\\Microsoft\\\\\\\\Windows\\\\\\\\CurrentVersion\\\\\\\\RunServices\\\\\\\\ - Удаляет следующие ключи и все данные в них
HKCR\\\\\\\\CLSID\\\\\\\\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\\\\\\\\InProcServer32
HKCU\\\\\\\\Software\\\\\\\\Microsoft\\\\\\\\Windows\\\\\\\\CurrentVersion\\\\\\\\Explorer\\\\\\\\PINF
HKLM\\\\\\\\System\\\\\\\\CurrentControlSet\\\\\\\\Services\\\\\\\\WksPatch
