Email-Worm.Win32.NetSky.y

Jest to robak internetowy rozprzestrzeniaj膮cy si臋 jako za艂膮cznik zainfekowanych wiadomo艣ci e-mail. Powsta艂 przy u偶yciu 艣rodowiska programistycznego Microsoft Visual C++ i ma posta膰 pliku PE EXE o rozmiarze 26 112 bajt贸w (kompresja PE_Patch+TeLock, rozmiar po rozpakowaniu - 28 160 bajt贸w).

Instalacja

Szkodnik aktywuje si臋 tylko wtedy, gdy u偶ytkownik uruchomi zainfekowany za艂膮cznik.

Robak kopiuje si臋 z nazw膮 FirewallSvr.exe do folderu Windows i tworzy w rejestrze systemowym klucz auto-run:

[HKLMSoftwareMicrosoftWindowsCurrentVersion
RunFirewallSvr]

Zainfekowane wiadomo艣ci e-mail

Robak wysy艂a wiadomo艣ci w r贸偶nych j臋zykach (w zale偶no艣ci od domeny w jakiej znajduje si臋 adres odbiorcy). Adres nadawcy jest zawsze taki sam - hukanmikloiuo@yahoo.com.

  • Domena ".tc"

    • Temat: Re: belge
    • Tre艣膰: mutlu etmek okumak belgili tanimlik belge.
    • Nazwa za艂膮cznika: belge.pif

  • Domena ".se"

    • Temat: Re: dokumenten
    • Tre艣膰: Behaga l盲sa dokumenten.
    • Nazwa za艂膮cznika: dokumenten.pif

  • Domena ".fi"

    • Temat: Re: dokumentoida
    • Tre艣膰: Haluta kuulua dokumentoida.
    • Nazwa za艂膮cznika: dokumentoida.pif

  • Domena ".pl"

    • Temat: Re: udokumentowac
    • Tre艣膰: Podobac sie przeczytac ten udokumentowac.
    • Nazwa za艂膮cznika: udokumentowac.pif

  • Domena ".no"

    • Temat: Re: dokumentet
    • Tre艣膰: Behage lese dokumentet.
    • Nazwa za艂膮cznika: dokumentet.pif

  • Domena ".pt"

    • Temat: Re: original
    • Tre艣膰: Leia por favor o original.
    • Nazwa za艂膮cznika: original.pif

  • Domena ".it"

    • Temat: Re: documento
    • Tre艣膰: Legga prego il documento.
    • Nazwa za艂膮cznika: documento.pif

  • Domena ".fr"

    • Temat: Re: document
    • Tre艣膰: Veuillez lire le document.
    • Nazwa za艂膮cznika: document.pif

  • Domena ".de"

    • Temat: Re: dokument
    • Tre艣膰: Bitte lesen Sie das Dokument.
    • Nazwa za艂膮cznika: dokument.pif

  • Pozosta艂e domeny

    • Temat: Re: document
    • Tre艣膰: Please read the document.
    • Nazwa za艂膮cznika: document.pif

Masowe wysy艂anie wiadomo艣ci e-mail

Adresy potencjalnych ofiar pobierane s膮 z plik贸w nast臋puj膮cych typ贸w:

  • ADB
  • ASP
  • DBX
  • DOC
  • EML
  • HTM
  • HTML
  • MSG
  • OFT
  • PHP
  • PL
  • RTF
  • SHT
  • TBB
  • TXT
  • UIN
  • VBS
  • WAB

Informacje dodatkowe

Mi臋dzy 27, a 30 kwietnia robak przeprowadza ataki DoS na nast臋puj膮ce serwery:

  • www.educa.ch
  • www.medinfo.ufl.edu
  • www.nibis.de

Robak otwiera port 82 i 艣ledzi jego aktywno艣膰. Wbudowana w szkodnika funkcja backdoor pozwala hakerowi na zapisywanie plik贸w na zainfekowanym komputerze.

Robak tworzy w folderze Windows plik fuck_you_bagle.txt i zapisuje w nim w艂asny kod. Plik ten jest wykorzystywany w procesie generowania zainfekowanych wiadomo艣ci e-mail.