Netsky.D - Envoi en masse de courrier électronique

W32.Netsky.D@mm est un ver d’envoi en masse de courrier électronique, il s'agit d'une variante de W32.Netsky.C@mm. Le ver analyse les disques C à Z à la recherche d'adresses électroniques, puis s'expédie aux adresses trouvées.

L'objet, le corps du message et la pièce jointe varient.
 

Egalement connu comme : WORM_NETSKY.D [Trend], W32/Netsky.d@MM [McAfee], W32/Netsky.D.worm [Panda], W32/Netsky-D [Sophos], Win32.Netsky.D [Computer Associates], I-Worm.Netsky.d [Kaspersky]
Variantes: W32.Netsky.C@mm, W32.Netsky.gen@mm
   
Systèmes affectés: Windows 2000, Windows 95, Windows 98, Windows Me, Windows XP
Systèmes non affectés: Linux, Macintosh, UNIX, Windows 3.x

Antivirus Gratuit en Ligne : K-OTik Antivirus

 Lorsque W32.Netsky.D@mm s'exécute, il réalise les opérations suivantes :

    Il crée un mutex appelé "[SkyNet.cz]SystemsMutex". Ce mutex ne permet que l'exécution d'une seule instance du ver.
         Il se copie comme %Windir%\winlogon.exe.

     

    Remarque : %Windir% est une variable. Le ver détermine l'emplacement du dossier d'installation de Windows (C:\Windows ou C:\Winnt par défaut) et se copie à cet emplacement.

    Il ajoute la valeur :

     "ICQ Net" = "%Windir%\winlogon.exe -stealth"

     à la clé de registre :

     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

     de façon à ce que le ver s'exécute lorsque vous démarrez Windows.
         Il supprime les valeurs :
     
Il supprime les valeurs :
 
    System.msgsvr32DELETE MEserviceSentry

    de la clé de registre :

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
     
Il supprime les valeurs :
 
    d3dupdate.exeau.exeOLE

    de la clé de registre :

    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
     
Il supprime la valeur :

 System.

 de la clé de registre :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
RunServices
 Il supprime les clés de registre :
 
    HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\PINFHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WksPatch

     

    Remarque : Les vers

    W32.Mydoom.A@mmet W32.Mydoom.B@mmajoutent une valeur à cette clé, de façon à ce qu'explorer.exe télécharge leurs composants de porte dérobée.

S'il est entre 6h00 et 9h00 le mardi 2 mars 2004, le haut-parleur de l'ordinateur émettra un bip continu. Chaque bip aura une durée aléatoire et sera émis à une fréquence aléatoire.
  Il analyse les types de fichiers ci-dessous, sur les disques C à Z, à la recherche d'adresses électroniques :
 
    .dhtm.cgi.shtm.msg.oft.sht.dbx.tbb.adb.doc.wab.asp.uin.rtf.vbs.html.htm.pl.php.txt.eml
     
Il utilise son propre moteur SMTP pour s'expédier lui-même aux adresses électroniques trouvées précédemment, et s'expédie une fois à chaque adresse. Le ver utilise le serveur DNS local (récupéré via une API) si disponible, afin d'effectuer une requête MX pour trouver l'adresse du destinataire. Si le DNS local échoue, il effectuera la requête à partir de la liste suivante de serveurs codés en dur :
 
    145.253.2.171151.189.13.35193.141.40.42193.189.244.205193.193.144.12193.193.158.10194.25.2.129194.25.2.129194.25.2.130194.25.2.131194.25.2.132194.25.2.133194.25.2.134195.185.185.195195.20.224.234212.185.252.136212.185.252.73212.185.253.70212.44.160.8212.7.128.162212.7.128.165213.191.74.19217.5.97.13762.155.255.16
     
Le courrier électronique présente les caractéristiques suivantes :

De :

Objet : (L'un des suivants)
    Re: Your websiteRe: Your productRe: Your letterRe: Your archiveRe: Your textRe: Your billRe: Your detailsRe: My detailsRe: Word fileRe: Excel fileRe: DetailsRe: ApprovedRe: Your softwareRe: Your musicRe: HereRe: Re: Re: Your documentRe: HelloRe: HiRe: Re: MessageRe: Your pictureRe: Here is the documentRe: Your documentRe: Thanks!Re: Re: Thanks!Re: Re: DocumentRe: Document

    Corps du message : (L'un des suivants)
         Your file is attached.Please read the attached file.Please have a look at the attached file.See the attached file for details.Here is the file.Your document is attached.

    Pièce jointe : (L'une des suivantes)your_website.pifyour_product.pifyour_letter.pifyour_archive.pifyour_text.pifyour_bill.pifyour_details.pifdocument_word.pifdocument_excel.pifmy_details.pifall_document.pifapplication.pifmp3music.pifyours.pifdocument_4351.pifyour_file.pifmessage_details.pifyour_picture.pifdocument_full.pifmessage_part2.pifdocument.pifyour_document.pif
     
Le ver évite d'envoyer du courrier électronique aux adresses contenant les chaînes suivantes :
 
    skynetmessagelabsabusefbiortonf-proasperskycafeeormanitdefenderf-securavpspamymantecantiviicrosoft


Source :

K-OTik / SYMANTEC   
 

F-VNS Security™ Audits de Sécurité & Tests Intrusifs Mailing Listes Advisories Service Publicitaire

Tous droits réservés © 2002-2004 K-OTiK Security Voir Notice Légale   

actualité informatique  Exploits