Descrizione breve

Netsky.B (conosciuto anche come Moodown.B) è stato rilevato la prima volta il 18 Febbraio 2004. E' una variante del worm NetSky.A, rilevato due giorni fa. Il worm si diffonde per mezzo di e-mail infette con allegato un file ZIP oppure un eseguibile. Inoltre si diffonde per mezzo degli share di rete copiandosi nelle directory condivise di tutti i drive disponibili.

Tool di disinfezione

F-Secure ha rilasciato un Tool di disinfezione.
E' disponibile al dowload ai seguenti link:

ftp://ftp.f-secure.com/anti-virus/tools/f-netsky.exe

ftp://ftp.f-secure.com/anti-virus/tools/f-netsky.zip

Istruzioni per l'utilizzo del tool di disinfezione

ftp://ftp.f-secure.com/anti-virus/tools/f-netsky.txt

Tool di disinfezione per amministratori centralizzati

http://www.europe.f-secure.com/tools/f-netsky.jar

ftp://ftp.europe.f-secure.com/anti-virus/tools/f-netsky.jar

Installazione nel sistema

Quando il worm viene eseguito, per prima cosa mostra una falsa finestra di dialogo:

Error

Il file può non può essere aperto!

Il worm si copia nella directory di sistema di Windows con nome SERVICE.EXE e crea una chiave di registro di sistema di Windows:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"service" = "%windir%\services.exe -serv"

dove %windir% rappresenta la directory di sistema di windows. Inoltre il worm tenta di cancellare le seguenti chiavi:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Taskmon"
"Explorer"
"system."
"KasperskyAv"

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Taskmon"
"Explorer"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"system."

[HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]

Dopo questo il worm inizia a collezionare indirizzi e-mail. Fa una scansione dei file con le seguenti estensioni su tutti i drive disponibili (c:-z:), ad eccezione del drive CD-ROM:

.msg
.oft
.sht
.dbx
.tbb
.adb
.doc
.wab
.asp
.uin
.rtf
.vbs
.html
.htm
.pl
.php
.txt
.eml

Se il worm trova una cartella con nome 'sharing' oppure 'share', si copia all'interno con uno dei seguenti nomi:

winxp_crack.exe
dolly_buster.jpg.pif
strippoker.exe
photoshop 9 crack.exe
matrix.scr
porno.scr
angels.pif
hardcore porn.jpg.exe
office_crack.exe
serial.txt.exe
cool screensaver.scr
eminem - lick my pussy.mp3.pif
nero.7.exe
virii.scr
e-book.archive.doc.exe
max payne 2.crack.exe
how to hack.doc.exe
programming basics.doc.exe
e.book.doc.exe
win longhorn.doc.exe
dictionary.doc.exe
rfc compilation.doc.exe
sex sex sex sex.doc.exe
doom2.doc.pif

Diffusione via e-mail

Quando la connessione internet è disponibile, il worm inizia a diffondersi. Crea dei file compressi ZIP nella directory di sistema di Windows. Il nome di questi file ZIP è lo stesso del nome del worm al loro interno. Il worm utilizza uno dei seguenti nomi per l'allegato della mail:

document
msg
doc
talk
message
creditcard
details
attachment
me
stuff
posting
textfile
concert
information
note
bill
swimmingpool
product
topseller
ps
shower
aboutyou
nomoney
found
story
mails
website
friend
jokes
location
final
release
dinner
ranking
object
mail2
part2
disco
party
misc

Il worm può utilizzare una o due estensioni per l'allegato. Come prima estensione viene scelta una delle seguenti:

.txt
.rtf
.doc
.htm

Come seconda una tra queste:

.exe
.scr
.com
.pif

Il worm si diffonde per mezzo di allegati ZIP in messaggi e-mail oppure come allegato con uno dei nomi mostrati in precedenza.

Il subject di una mail infetta può essere uno dei seguenti:

hi
hello
read it immediately
something for you
warning
information
stolen
fake
unknown

Il corpo della mail di un messaggio di posta infetto può essere uno dei seguenti:

anything ok?
what does it mean?
ok
i'm waiting
read the details.
here is the document.
read it immediately!
my hero
here
is that true?
is that your name?
is that your account?
i wait for a reply!
is that from you?
you are a bad writer
I have your password!
something about you!
kill the writer of this document!
i hope it is not true!
your name is wrong
i found this document about you
yes, really?
that is bad
here it is
see you
greetings
stuff about you?
something is going wrong!
information about you
about me
from the chatter
here, the serials
here, the introduction
here, the cheats
that's funny
do you?
reply
take it easy
why?
thats wrong
misc
you earn money
you feel the same
you try to steal
you are bad
something is going wrong
something is fool

Il file del worm è allegato alla mail infetta all'interno di un archivio ZIP o come normale file binario. Per infettarsi il ricevente deve scompattare l'allegato dell'archivio ZIP ed eseguirlo opppure lanciare l'allegato eseguibile.

Rilevazione

F-Secure Anti-Virus per Windows rileva NetSky.B con gli aggiornamenti pubblicati il 18 Febbraio 2004:

[FSAV_Database_Version]

Version=2004-02-18_02