Worm.Win32_Netsky-P

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 29568 Octet(s)

Détails techniques:

Netsky-P arrive sous forme de "dropper" qui crée et charge un fichier DLL (Dynamic Link Library) contenant l'essentiel du code du ver.

A son exécution, le dropper crée un mutex "'D'r'o'p'p'e'd'S'k'y'N'e't'" pour empêcher l'exécution simultanée de plusieurs versions du ver sur la machine infectée.

Il se copie sous le nom :

%Windir%\FVProtect.exe

Il décrypte aussi la DLL stockée dans son propre fichier et en écrit les résultats ici :

%Windir%\userconfig9x.dll

Il passe ensuite la main à la DLL.

Pour lancer le dropper à chaque démarrage, le ver ajoute l'entrée de registre suivante :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Norton Antivirus AV = "%Windows%\FVProtect.exe"

Un autre mutex du nom de "_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_" est créé. La DLL créée plusieurs autres fichiers dans sa procédure de propagation :

- %Windir%\base64.tmp Une copie exécutable, du ver, encodée en base64 (utilisée dans le message e-mail)
- %Windir%\zipped.tmp Une copie temporaire de l'archive ZIP contenant le 'exécutable du ver
- %Windir%\zip1.tmp Une copie de l'archive ZIP, contenant le ver, encodée en base64
- %Windir%\zip2.tmp Une copie de l'archive ZIP, contenant le ver, encodée en base64
- %Windir%\zip3.tmp Une copie de l'archive ZIP, contenant le ver, encodée en base64

N.B. : %Windir% représentant le dossier Windows, généralement situé ici C:\Windows ou là C:\WINNT.


Propagation

Netsky-P s'envoie par e-mail en utilisant son propre moteur SMTP. Il corrompt l'adresse de l'expéditeur, soit en insérant une adresse qu'il a récolté sur l'ordinateur infecté, soit en utilisant l'adresse lola@sexnet.com.

Netsky-P est capable de produire une variété importante messages en combinant différents sujets, corps de message et noms de pièce-jointe :

Sujet

Netsky-P choisie l'un des sujets suivants :

Re: Encrypted Mail
Re: Extended Mail
Re: Status
Re: Notify
Re: SMTP Server
Re: Mail Server
Re: Delivery Server
Re: Bad Request
Re: Failure
Re: Thank you for delivery
Re: Test
Re: Administration
Re: Message Error
Re: Error
Re: Extended Mail System
Re: Secure SMTP Message
Re: Protected Mail Request
Re: Protected Mail System
Re: Protected Mail Delivery
Re: Secure delivery
Re: Delivery Protection
Re: Mail Authentification
here
hi
hello
thanks!
approved
corrected
patched
improved
important
read it immediately


N.B. : Certains de ces sujets peuvent contenir la chaîne "Re:" ou "Re: Re:".

Corps du message

Netsky-P choisie l'un des messages suivants :

Please confirm my request.
ESMTP [Secure Mail System #334]: Secure message is attached.
Partial message is available.
Waiting for a Response. Please read the attachment.
First part of the secure mail is available.
For more details see the attachment.
For further details see the attachment.
Your requested mail has been attached.
Protected Mail System Test.
Secure Mail System Beta Test.
Forwarded message is available.
Delivered message is attached.
Encrypted message is available.
Please read the attachment to get the message.
Follow the instructions to read the message.
Please authenticate the secure message.
Protected message is attached.
Waiting for authentification.
Protected message is available.
Bad Gateway: The message has been attached.
SMTP: Please confirm the attached message.
You got a new message.
Now a new message is available.
New message is available.
You have received an extended message. Please read the instructions.


Netsky-P peut ajouter l'une des ces phrases à la fin du message :

+++ Attachment: No Virus found
+++ MessageLabs AntiVirus - www.messagelabs.com


+++ Attachment: No Virus found
+++ Bitdefender AntiVirus - www.bitdefender.com


+++ Attachment: No Virus found
+++ MC-Afee AntiVirus - www.mcafee.com


+++ Attachment: No Virus found
+++ Kaspersky AntiVirus - www.kaspersky.com


+++ Attachment: No Virus found
+++ Panda AntiVirus - www.pandasoftware.com


++++ Attachment: No Virus found
++++ Norman AntiVirus - www.norman.com


++++ Attachment: No Virus found
++++ F-Secure AntiVirus - www.f-secure.com


++++ Attachment: No Virus found
++++ Norton AntiVirus - www.symantec.de


Pièce-jointe

Exemple du nom de la pièce-jointe :

message
msg
details
data
document
readme


La pièce-jointe peut avoir une simple ou une double extension. Dans ce dernier cas, voici la première extension :

.txt
.doc


Puis la deuxième :

.pif
.exe
.scr


Ces 2 extensions sont souvent séparées de nombreux espaces. Voici quelques exmples de noms complets :

document.txt{beaucoup_d'espaces}.exe
data.rtf{beaucoup_d'espaces}.scr
details.txt{beaucoup_d'espaces}.pif


Voici un message type :

Sujet : Mail Delivery (failure {addresse_du_destinataire})

Pièce-jointe : message.scr

Corps du message : If the message will not displayed automatically,
follow the link to read the delivered message.

Received message is available at:
www.
{domaine_du_destinataire}/inbox/{nom_du_destinataire}/read.php?sessionid-{nombre_aléatoire}

Dans le cas ci-dessus, le corps du message est en HTML et tente d'exploiter la vulnérabilité "Incorrect MIME Header" afin de lancer automatiquement le fichier en pièce-jointe, à la lecture du message.
Pour plus de détails : http://www.microsoft.com/technet/security/bulletin/MS01-020.asp


Afin de collecter des adresses e-mails, le ver cherche, dans tous les lecteurs de A: à Z: (sauf le s lecteurs CD-ROM), à l'intérieur des fichiers ayant pour extensions :

adb
.asp
.cgi
.dbx
.dhtm
.doc
.eml
.htm
.html
.jsp
.msg
.oft
.php
.pl
.rtf
.sht
.shtm
.tbb
.txt
.uin
.vbs
.wab
.wsh
.xml


Le ver renonce aux adresses contenants les mots :

microsof
@antivi
@symantec
@spam
@avp
@f-secur
@bitdefender
@norman
@mcafee
@kaspersky
@f-pro
@norton
@fbi
abuse@
@messagel
@skynet
@pandasof
@freeav
@sophos
ntivir
@viruslis
noreply@
spam@
reports@



Dans cette recherche d'adresses e-mails Netsky-P vérifie si d'autres répertoires sont accessibles sur d'autres ordinateurs (réseaux peer-to-peer ou partage Windows).

Netsky-P se copie dans tous les répertoires dont les noms sont :

my shared folder
download
ftp
htdocs
http
upload
shar
icq
bear
lime
morpheus
donkey
mule
kazaa
shared files


Netsky-P se propage alors sous l'un des noms suivants :

The Sims 4 beta.exe
Lightwave 9 Update.exe
Ulead Keygen 2004.exe
Smashing the stack full.rtf.exe
Internet Explorer 9 setup.exe
Opera 11.exe
DivX 8.0 final.exe
WinAmp 13 full.exe
Cracks & Warez Archiv.exe
Visual Studio Net Crack all.exe
ACDSee 10.exe
MS Service Pack 6.exe
Clone DVD 6.exe
Magix Video Deluxe 5 beta.exe
Star Office 9.exe
Partitionsmagic 10 beta.exe
Gimp 1.8 Full with Key.exe
Norton Antivirus 2005 beta.exe
Windows 2000 Sourcecode.doc.exe
Keygen 4 all new.exe
3D Studio Max 6 3dsmax.exe
1001 Sex and more.rtf.exe
RFC compilation.doc.exe
Dictionary English 2004 - France.doc.exe
Win Longhorn re.exe
WinXP eBook newest.doc.exe
Learn Programming 2004.doc.exe
How to hack new.doc.exe
Doom 3 release 2.exe
E-Book Archive2.rtf.exe
netsky source code.scr
Ahead Nero 8.exe
Full album all.mp3.pif
Screensaver2.scr
Serials edition.txt.exe
Microsoft Office 2003 Crack best.exe
XXX hardcore pics.jpg.exe
Dark Angels new.pif
Porno Screensaver britney.scr
Best Matrix Screensaver new.scr
Adobe Photoshop 10 full.exe
Adobe Premiere 10.exe
Teen Porn 15.jpg.pif
Microsoft WinXP Crack full.exe
Adobe Photoshop 10 crack.exe
Windows XP crack.exe
Windows 2003 crack.exe
Arnold Schwarzenegger.jpg.exe
Saddam Hussein.jpg.exe
Cloning.doc.exe
American Idol.doc.exe
Eminem Poster.jpg.exe
Altkins Diet.doc.exe
Eminem blowjob.jpg.exe
Ringtones.doc.exe
Eminem sex xxx.jpg.exe
Ringtones.mp3.exe
Eminem Spears porn.jpg.exe
Eminem full album.mp3.exe
Eminem Sexy archive.doc.exe
Eminem Song text archive.doc.exe
Britney Spears.mp3.exe
Eminem.mp3.exe
Britney Spears full album.mp3.exe
Britney Spears Song text archive.doc.exe
Matrix.mpg.exe
Britney Spears and Eminem porn.jpg.exe
Harry Potter 5.mpg.exe
Britney Spears.jpg.exe
Harry Potter game.exe
Britney Spears fuck.jpg.exe
Harry Potter.doc.exe
Britney Spears cumshot.jpg.exe
Harry Potter e book.doc.exe
Britney Spears blowjob.jpg.exe
Harry Potter 1-6 book.txt.exe
Britney sex xxx.jpg.exe
Harry Potter all e.book.doc.exe
Britney Spears porn.jpg.exe
Kazaa new.exe
Britney Spears Sexy archive.doc.exe
Kazaa Lite 4.0 new.exe



Pendant son infection, le ver retire les entrées de registre suivantes (certaines d'entre elles sont associées à d'autres vers) :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Explorer
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Explorer
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\system.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\system.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msgsvr32
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\au.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winupd.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\direct.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\direct.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\jijbl
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Video
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\service
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\DELETE ME
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\d3dupdate.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OLE
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Sentry
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\gouday.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rate.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Taskmon
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Taskmon
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows Services Host
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows Services Host
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysmon.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\srate.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ssate.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winupd.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Video


Il retire aussi les clefs suivantes et leurs valeurs contenues dedans :

HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\PINF
HKLM\System\CurrentControlSet\Services\WksPatch





http://www.newdimension-fr.net/