Network Security Distributor
 
   
 SYMBOLIC
 Antivirus Security Division
 
 10 Marzo 2004
 
 NOME: NetSky.F
 ALIAS: W32/NetSky.F@mm
 DIMENSIONE: 18432 bytes

Tool di disinfezione

F-Secure ha rilasciato un Tool di disinfezione.
E' disponibile al dowload ai seguenti link:

ftp://ftp.f-secure.com/anti-virus/tools/f-netsky.exe

ftp://ftp.f-secure.com/anti-virus/tools/f-netsky.zip

Istruzioni per l'utilizzo del tool di disinfezione

ftp://ftp.f-secure.com/anti-virus/tools/f-netsky.txt

Tool di disinfezione per amministratori centralizzati

http://www.europe.f-secure.com/tools/f-netsky.jar

ftp://ftp.europe.f-secure.com/anti-virus/tools/f-netsky.jar


Descrizione breve

NetSky.F è stato rilevato per la prima volta il 3 marzo 2004. Questa variante si diffonde per mezzo di e-mail attraverso un file eseguibile.

Le seguenti stringhe di testo sono scritte nel corpo del worm:

Skynet AntiVirus - Bagle - you are a looser!!!!

Questo indica una competizione in corso tra i creatori dei worm Bagle e NetSky. Questa variante tenta di rimuovere il worm Bagle se trova la macchina infetta.

Descrizione Dettagliata

La descrizione delle versioni precedenti di NetSky possono essere trovate ai seguenti link

W32/NetSky.E@mm: Variante E

W32/NetSky.D@mm: Variante D

W32/NetSky.C@mm: Variante C

W32/NetSky.B@mm: Variante B

W32/NetSky.A@mm: Variante A


Il worm crea un mutex chiamato "LK[SkyNet.cz]SystemsMutex" per impedire che più di un'istanza del worm sia eseguita sulla macchina.

Il 2 Marzo 2004 il worm utilizza il beeper di sistema per rodurre un suono dalle 6:00 alle 8:59 . Un esempio del suono è il seguente:

http://www.f-secure.com/virus-info/v-pics/netsky_d.wav

Il worm NetSky.F non si diffonde nelle cartelle condivise

Installation nel sistema

Quando eseguito, il worm si installa nel sistema. Si copia nella directory di sistema di Windows come SVCHOST.EXE e crea una chiave di avvio nel registro di sistema di Windows:


[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Zone Labs Client Ex" = "%windir%\svchost.exe -antivirus service"

dove %windir% rappresenta la directory di sistema di Windows

Il worm crea un mutex chiamato "LK[SkyNet.cz]SystemsMutex" per impedire di creare più istanze sulla macchina infettata.

Diffusione via e-mail

NetSky ha il suo motore SMTP interno che viene usato per inviare mail con le seguenti caratteristiche.

Il worm scandisce tutti i drives disponibili, ad eccezione del CD-ROM, per individuare indirizzi e-mail con le seguenti estensioni:

.dhtm
.cgi
.shtm
.msg
.oft
.sht
.dbx
.tbb
.adb
.doc
.wab
.asp
.uin
.rtf
.vbs
.html
.htm
.php
.txt
.eml

Il subject delle messaggi delle mail infette viene selezionato dalla seguente lista:

Re: Your website
Re: Your product
Re: Your letter
Re: Your archive
Re: Your text
Re: Your bill
Re: Your details
Re: My details
Re: Word file
Re: Excel file
Re: Details
Re: Approved
Re: Your software
Re: Your music
Re: Here
Re: Re: Re: Your document
Re: Hello
Re: Hi
Re: Re: Message
Re: Your picture
Re: Here is the document
Re: Your document
Re: Thanks!
Re: Re: Thanks!
Re: Re: Document
Re: Document

Il corpo del messaggio infetto è selezionato dalla seguente lista:


Your file is attached.
Please read the attached file.
Please have a look at the attached file.
See the attached file for details.
Here is the file.
Your document is attached.

Il nome dell'allegato è scelto tra i seguenti:


your_website.pif
your_product.pif
your_letter.pif
your_archive.pif
your_text.pif
your_bill.pif
your_details.pif
document_word.pif
document_excel.pif
my_details.pif
all_document.pif
application.pif
mp3music.pif
yours.pif
document_4351.pif
your_file.pif
message_details.pif
your_picture.pif
document_full.pif
message_part2.pif
document.pif
your_document.pif

Il worm non manda le e-mail infette ad indirizzi che contengono le seguenti sottostringhe:


icrosoft
antivi
ymantec
spam
avp
f-secur
itdefender
orman
cafee
aspersky
f-pro
orton
fbi
abuse
messagelabs
skynet
andasoftwa
freeav
sophos
antivir
iruslis

Disinfezione del Sistema

La variante F di Netsky elimina le seguenti chiavi del registro:


[HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]


[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\PINF]


[HKLM\System\CurrentControlSet\Services\WksPatch]


[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
system.


[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
KasperskyAv
Explorer
Taskmon
system.
msgsvr32
DELETE ME
service
Sentry
Windows Services Host


[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
KasperskyAv
Explorer
OLE
Windows Services Host
d3dupdate.exe
au.exe
sysmon.exe
rate.exe
gouday.exe

Il worm Netsky elimina molte delle chiavi utilizzate dal worm Bagle se viene rilevata la macchina infettata

Rilevazione

F-Secure Anti-Virus rileva Netsky.F con i seguenti aggiornamenti:

[FSAV_Database_Version]

Version=2004-03-03_03


Descrizione: Ero Carrera e Alexey Podrezov, 3 Marzo 2004

F-Secure Corporation

  Contatti | Dove Siamo | Trademark