|
| |
|
Recherche Description Malware |
|
|
| | |
|
|
| |
Home / Virus / Encyclopédie Virus / Descriptions du Malware / Vers de réseau / Vers de Messagerie
Email-Worm.Win32.NetSky.b
Other versions: .aa, .ac, .q, .t, .x, .y
Email-Worm.Win32.NetSky.b (Kaspersky Lab)
is also known as:
I-Worm.NetSky.b (Kaspersky Lab),
W32/Netsky.b@MM (NAI), W32.Netsky.gen@mm (NAV), Win32.HLLM.Netsky.based (DrWeb), W32/Netsky-B (Sophos), Win32/Netsky.B@mm (RAV), WORM_NETSKY.GEN (PCCIL), Worm/NetSky.B.2 (H+BEDV), W32/Netsky.B@mm (FPROT), Win32:Netsky-B (AVAST), I-Worm/Netsky.B (AVG), Win32.Netsky.B@mm (BitDef7), Worm.SomeFool.Gen-unp (Clamav), W32/Netsky.B.worm (Panda), Win32/Netsky.B (Nod32)
| Detection added |
01 Nov 2005 14:32 GMT |
| Update released |
01 Nov 2005 15:59 GMT |
| Description added |
20 Apr 2006 |
| Comportement |
Email-Worm, ver de messagerie |
(Aussi connu sous le nom de Moodown.b)
Ce ver se propage sur Internet sous forme de fichier attaché à
des emails infectés. Le ver est un fichier PE EXE d'environ 21 Ko compacté
sous UPX. La taille du fichier décompressé est d'environ 40 Ko.
Installation
Une fois lancé, le ver affiche un faux message d'erreur sur l'écran
: 'The file could not be opened'. ("Impossible d'ouvrir le fichier")
Le ver se copie dans le répertoire Windows sous le nom de 'services.exe'
et enregistre ce fichier dans la clé auto-run de la base de registre
:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"service" = "%windir%\services.exe -serv"
Le ver met en place l'identifiant unique 'AdmSkynetJklS003' pour indiquer sa
présence en mémoire.
Le ver crée de nombreuses de ses copies dans tous les sous-répertoires
sur les disques de C à Z contenant le mot 'share' ou 'sharing' dans le
nom du répertoire. Les copies portent les noms suivants :
winxp_crack.exe
dolly_buster.jpg.pif
strippoker.exe
photoshop 9 crack.exe
matrix.scr
porno.scr
angels.pif
hardcore porn.jpg.exe
office_crack.exe
serial.txt.exe
cool screensaver.scr
eminem - lick my pussy.mp3.pif
nero.7.exe
virii.scr
e-book.archive.doc.exe
max payne 2.crack.exe
how to hack.doc.exe
programming basics.doc.exe
e.book.doc.exe
win longhorn.doc.exe
dictionary.doc.exe
rfc compilation.doc.exe
sex sex sex sex.doc.exe
doom2.doc.pif
Il crée d'autres de ses copies sous format ZIP et les nomme de façon
suivante :
document
msg
doc
talk
message
creditcard
details
attachment
me
stuff
posting
textfile
concert
information
note
bill
swimmingpool
product
topseller
ps
shower
aboutyou
nomoney
found
story
mails
website
friend
jokes
location
final
release
dinner
ranking
object
mail2
part2
disco
party
misc
#n#o#t#n#e#t#s#k#y#-#s#k#y#n#e#t#!
Diffusion
Le ver sélectionne les fichiers aux extensions adb, asp, dbx, doc, eml,
htm, html, msg, oft, php, pl, rtf, sht, tbb, txt, uin, vbs et wab, y recherche
des adresses email et envoie sa copie à l'adresse trouvée. Le
ver utilise sa propre bibliothèque SMTP pour envoyer des messages.
Les messages infectés sont combinés de façon aléatoire
avec les éléments des 3 listes ci-dessous :
En-tête du message
Hi
hi
hello
read it immediately
something for you
warning
information
stolen
fake
unknown
Corps du message
AnythingOk?
anything ok?
what does it mean?
ok
i'm waiting
read the details.
here is the document.
read it immediately!
my hero
here
is that true?
is that your name?
is that your account?
i wait for a reply!
is that from you?
you are a bad writer
I have your password!
something about you!
kill the writer of this document!
i hope it is not true!
your name is wrong
i found this document about you
yes, really?
that is bad
here it is
see you
greetings
stuff about you?
something is going wrong!
information about you
about me
from the chatter
here, the serials
here, the introduction
here, the cheats
that's funny
do you?
reply
take it easy
why?
thats wrong
misc
you earn money
you feel the same
you try to steal
you are bad
something is going wrong
something is fool
Suppression du ver Mydoom
A l'instar de certains vers, Moodown.b possède une fonction qui supprime
Mydoom sur les machines infectées par ce ver. Pour se faire, il cherche
les clés 'Explorer' et 'Taskmon' dans les branches suivantes :
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]
et supprime la clé suivante :
[HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]
Autre
Le ver supprime les clés 'KasperskyAv' et 'system' dans le registre Windows.
| | |
|
