Підтримка
Цілодобова підтримка | Правила звернення

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Поширені запитання |  Форум |  Бот самопідтримки Telegram

Ваші запити

  • Всі: -
  • Незакриті: -
  • Останій: -

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Зв'яжіться з нами Незакриті запити: 

Профіль

Профіль

Win32.HLLM.Netsky.17408

Добавлен в вирусную базу Dr.Web: 2004-04-27

Описание добавлено:

Описание

Win32.HLLM.Netsky.17408 [Netsky.AA] - почтовый червь массовой рассылки. Поражает компьютеры под управлением операционных систем Windows 95/98/Me/NT/2000/XP. Размер исполняемого модуля червя, упакованного компрессионной утилитой PECompact - 17 408 байт.

Запуск вируса

Чтобы обеспечить автоматический запуск своей копии при каждой перезагрузке Windows, червь вносит данные:
SkynetsRevenge = "%WinDir%\winlogon.scr"
в реестровую запись
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Распространение

В поисках адресов для почтовой рассылки червь сканирует все диски пораженного компьютера от Z до C. Ревизии подвергаются файлы со следующими расширениями:

 
    .ppt    
    .nch    
    .mmf    
    .mht    
    .xml    
    .wsh    
    .jsp    
    .xls    
    .stm    
    .ods    
    .msg    
    .oft    
    .sht    
    .html   
    .htm    
    .pl 
    .dbx    
    .tbb    
    .adb    
    .dhtm   
    .cgi    
    .shtm   
    .uin    
    .rtf    
    .vbs    
    .doc    
    .wab    
    .asp    
    .mdx    
    .mbx    
    .cfg    
    .php    
    .txt    
    .eml
             
Рассылка не будет осуществляться по адресам, в которых присутствуют следующие символы:
    ruslis 
    antivir 
    sophos  
    freeav  
    andasoftwa  
    skynet  
    messagelabs 
    abuse   
    fbi 
    orton   
    f-pro   
    aspersky    
    cafee   
    orman   
    itdefender  
    f-secur 
    avp 
    spam    
    ymantec 
    antivi  
    icrosoft   
    
Адреса SMTP-серверов червь определяет, исходя из доменных имен собранных на компьютере адресов, используя при этом DNS-службы. Если ему не удается определить адрес, тогда используются адреса из списка, хранящегося внутри тела червя:
       212.44.160.8    
    195.185.185.195 
    151.189.13.35   
    213.191.74.19   
    193.189.244.205 
    145.253.2.171   
    193.141.40.42   
    193.193.144.12  
    217.5.97.137    
    195.20.224.234  
    194.25.2.130    
    194.25.2.129    
    212.185.252.136 
    212.185.253.70  
    212.185.252.73  
    62.155.255.16   
    194.25.2.134    
    194.25.2.133    
    194.25.2.132    
    194.25.2.131    
    193.193.158.10  
    212.7.128.165  
    212.7.128.162  
         
Почтовое сообщение, инфицированное червем, может выглядеть следующим образом.

Имя и адрес отправителя подставляются червем, исходя из адресов, полученных в результате сканирования всех дисков локального компьютера.

Тема сообщения выбирается из следующего списка:

     
    Re: Job 
    Re: Pricelist   
    Re: Patch   
    Re: Poster  
    Re: Final   
    Re: Demo    
    Re: War 
    Re: Cheaper 
    Re: Fax number  
    Re: Advice  
    Re: Presentation    
    Re: Movie   
    Re: Website 
    Re: Product 
    Re: Letter  
    Re: Missed  
    Re: Error   
    Re: Bill    
    Re: e-Books 
    Re: Contacts    
    Re: Paint file  
    Re: Text file   
    Re: List    
    Re: Tel. Numbers    
    Re: Application 
    Re: Music   
    Re: Step by Step    
    Re: Summary 
    Re: Hello   
    Re: Hi  
    Re: Information 
    Re: Private 
    Re: Photos  
    Re: Details 
    Re: Thank you!  
    Re: Text    
    Re: Approved    
    Re: Document  
        
Текст сообщения выбирается из следующего списка:
    For furher details see the attached file.   
    Your file is attached.  
    Please read the attached file.  
    Please have a look at the attached file.    
    Please take the attached file.  
    See the attached file for details.  
    Please view the attached file.  
    Here is the file.   
    Your document is attached.
    
Наименование вложения:
    Your_Job.pif    
    Your_Pricelist.pif  
    Your_Patch.pif  
    Your_Poster.pif 
    Your_Final_Document.pif
    Your_Demo.pif   
    Osam_Bin_Laden_Articel_42.pif   
    Your_Product_List.pif   
    My_Fax_Numbers.pif  
    My_Advice.pif   
    Your_Presentation.pif   
    Your_Movie.pif  
    Your_Website.pif    
    Your_Product.pif    
    Your_Letter.pif 
    Your_Excel_Document.pif
    Your_Error.pif  
    Your_Bill.pif   
    Your_E-Books.pif   
    Your_Contacts.pif   
    Your_Paint_File.pif 
    Your_Text_File.pif  
    Your_List.pif   
    My_Telephone_Numbers.pif    
    Your_Software.pif   
    Your_Music.pif  
    Your_Description.pif    
    Your_Summary.pif    
    Your_Digicam_Pictures.pif   
    Your_Information.pif    
    Your_Private_Document.pif   
    Your_Pics.pif   
    Your_Details.pif    
    Your_Document_Part3.pif 
    Your_Text.pif   
    Your_Document.pif     
                

Действия

Будучи активированным, червь создает семафор “MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D”. В директорию Windows (в Windows 9x/ME/XP это C:\Windows, в Windows NT/2000 это C:\WINNT ) червь помещает свою копию winlogon.scr.