Описание
Win32.HLLM.Netsky.22016 [Netsky.Z] - почтовый червь массовой рассылки. Поражает компьютеры под управлением операционных систем Windows 95/98/Me/NT/2000/XP. Размер исполняемого модуля червя 22 016 байт.
Червь распространяется по электронной почте, используя собственную реализацию протокола SMTP. В пораженном компьютере червь открывает люк, что приводит к компрометации системы и возможности загрузки в нее и запуска исполняемых файлов.
В период со 2 по 5 мая червь проводит DoS-атаку против веб-сайтов www.nibis.de,
www.medinfo.ufl.edu и www.educa.ch.
Запуск вируса
Чтобы обеспечить автоматический запуск своей копии при каждой перезагрузке Windows, червь вносит данные:
"Jammer2nd" = "%WinDir%\Jammer2nd.exe"
в реестровую запись
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Распространение
В поисках адресов для почтовой рассылки червь сканирует все диски пораженного компьютера. Ревизии подвергаются файлы со следующими расширениями:
.adb
.asp
.cfg
.cgi
.dbx
.dhtm
.doc
.eml
.htm
.html
.jsp
.msg
.oft
.php
.pl
.rtf
.sht
.shtm
.tbb
.txt
.uin
.vbs
.wab
.wsh
.xls
.xml
Адреса SMTP-серверов червь определяет, исходя из доменных имен собранных на компьютере адресов, используя при этом DNS-службы. Если ему не удается определить адрес, тогда используются адреса из списка, хранящегося внутри тела червя:
145.253.2.171
151.189.13.35
193.193.158.10
193.193.144.12
193.189.244.205
193.141.40.42
194.25.2.129
194.25.2.130
194.25.2.131
194.25.2.132
194.25.2.133
194.25.2.134
195.185.185.195
195.20.224.234
212.185.252.136
212.7.128.162
212.7.128.165
212.185.253.70
212.185.252.73
212.44.160.8
213.191.74.19
217.5.97.137
Почтовое сообщение, инфицированное червем, может выглядеть следующим образом. Имя и адрес отправителя подставляются червем, исходя из адресов, полученных в результате сканирования всех дисков локального компьютера.
Тема сообщения выбирается из следующего списка:
Document Hello Hi Important Important bill! Important data Important details! Important document! Important informations! Important notice! Important textfile! Important! InformationНаименование вложения:
Bill.zip
Data.zip
Details.zip
Important.zip
Informations.zip
Notice.zip
Part-2.zip
Textfile.zip
Внутри архива находится файл с аналогичным названием (например, если пришедший во вложении файл имел название Data, то название файла внутри архива также будет Data), но уже с двойным расширением – .txt и .exe, между которыми вставлены множественные пробелы. Например, Data.txt (множество пробелов) .exe.
Действия
Будучи активированным, червь создает семафор " (S)(k)(y)(N)(e)(t) ". В директорию Windows (в Windows 9x/ME/XP это C:\Windows, в Windows NT/2000 это C:\WINNT ) червь помещает свою копию Jammer2nd.exe . В той же директории червь создает еще несколько файлов:
- PK_ZIP*.LOG – копии червя в кодировке MIME. Где * соответствует числовому значению от 1 до 8.
- PK_ZIP_ALG.LOG – копия червя в формате WinZip
В период со 2 по 5 мая червь проводит DoS-атаку против следующих веб-сайтов:
www.nibis.de
www.medinfo.ufl.edu
www.educa.ch
