Win32.HLLM.Netsky.22016

Описание

Win32.HLLM.Netsky.22016 [Netsky.Z] - почтовый червь массовой рассылки. Поражает компьютеры под управлением операционных систем Windows 95/98/Me/NT/2000/XP. Размер исполняемого модуля червя 22 016 байт.
Червь распространяется по электронной почте, используя собственную реализацию протокола SMTP. В пораженном компьютере червь открывает люк, что приводит к компрометации системы и возможности загрузки в нее и запуска исполняемых файлов.
В период со 2 по 5 мая червь проводит DoS-атаку против веб-сайтов www.nibis.de, www.medinfo.ufl.edu и www.educa.ch.

Запуск вируса

Чтобы обеспечить автоматический запуск своей копии при каждой перезагрузке Windows, червь вносит данные:
"Jammer2nd" = "%WinDir%\Jammer2nd.exe"
в реестровую запись
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Распространение

В поисках адресов для почтовой рассылки червь сканирует все диски пораженного компьютера. Ревизии подвергаются файлы со следующими расширениями:

 
      .adb
      .asp
      .cfg
      .cgi
      .dbx
      .dhtm
      .doc
      .eml
      .htm
      .html
      .jsp
      .msg
      .oft
      .php
      .pl
      .rtf
      .sht
      .shtm
      .tbb
      .txt
      .uin
      .vbs
      .wab
      .wsh
      .xls
      .xml
               

Адреса SMTP-серверов червь определяет, исходя из доменных имен собранных на компьютере адресов, используя при этом DNS-службы. Если ему не удается определить адрес, тогда используются адреса из списка, хранящегося внутри тела червя:

  145.253.2.171 
  151.189.13.35 
  193.193.158.10 
  193.193.144.12 
  193.189.244.205 
  193.141.40.42 
  194.25.2.129 
  194.25.2.130 
  194.25.2.131 
  194.25.2.132 
  194.25.2.133 
  194.25.2.134 
  195.185.185.195 
  195.20.224.234 
  212.185.252.136 
  212.7.128.162 
  212.7.128.165 
  212.185.253.70 
  212.185.252.73 
  212.44.160.8 
  213.191.74.19 
  217.5.97.137 
       

Почтовое сообщение, инфицированное червем, может выглядеть следующим образом.

Имя и адрес отправителя подставляются червем, исходя из адресов, полученных в результате сканирования всех дисков локального компьютера.

Тема сообщения выбирается из следующего списка:

     
   Document 
   Hello 
   Hi 
   Important 
   Important bill! 
   Important data 
   Important details! 
   Important document! 
   Important informations! 
   Important notice! 
   Important textfile! 
   Important! 
   Information                
   

Наименование вложения:

   Bill.zip 
   Data.zip 
   Details.zip 
   Important.zip 
   Informations.zip 
   Notice.zip 
   Part-2.zip 
   Textfile.zip
              

Внутри архива находится файл с аналогичным названием (например, если пришедший во вложении файл имел название Data, то название файла внутри архива также будет Data), но уже с двойным расширением – .txt и .exe, между которыми вставлены множественные пробелы. Например, Data.txt (множество пробелов) .exe.

Действия

Будучи активированным, червь создает семафор " (S)(k)(y)(N)(e)(t) ". В директорию Windows (в Windows 9x/ME/XP это C:\Windows, в Windows NT/2000 это C:\WINNT ) червь помещает свою копию Jammer2nd.exe . В той же директории червь создает еще несколько файлов:

• PK_ZIP*.LOG – копии червя в кодировке MIME. Где * соответствует числовому значению от 1 до 8.
• PK_ZIP_ALG.LOG – копия червя в формате WinZip

В пораженной системе червь слушает порт 665. Он открывает люк, через который удаленный пользователь может загрузить и запустить исполняемый файл.

В период со 2 по 5 мая червь проводит DoS-атаку против следующих веб-сайтов:

www.nibis.de
www.medinfo.ufl.edu
www.educa.ch