Netsky (червь)

Червь NetSky — компьютерный вирус, обнаруженный в сети 16 февраля 2004 года.

Также известен как:

• W32/Netsky.a@MM (McAfee)
• W32.Netsky@mm (Symantec)
• Win32.HLLM.Moodown.37888 (Doctor Web)
• W32/Netsky-A (Sophos)
• Win32/Netsky.A@mm (RAV)
• WORM_NETSKY.A (Trend Micro)
• Worm/NetSky.A (H+BEDV)
• W32/Netsky.A@mm (FRISK)
• Win32:Netsky (ALWIL)
• I-Worm/Netsky.A (Grisoft)
• Win32.Netsky.A@mm (SOFTWIN)
• Worm.SomeFool.Gen-2 (ClamAV)
• W32/Netsky.A.worm (Panda)
• Win32/Netsky.A (Eset)

Другие модификации: .ac, .af, .b, .c, .d, .e, .m, .o, .q, .r, .t, .x, .y

Как и любой почтовый червь, NetSky использует для распространения электронную почту. Зафиксировано более 20 штаммов данного вируса.

Впервые данный вирус был обнаружен 16 февраля 2004 года. Он представляет собой стандартный PE EXE-файл, упакованный программой UPX. Размер исполняемого файла — около 20 КБ (ок. 40 КБ в распакованном виде).

После запуска, червь выводит ложное сообщение об ошибке: «The file could not be opened!», копирует себя в каталог Windows и регистрируется в ключе автозапуска системного реестра. Также создает множество своих копий в подкаталогах, содержащих в названии слово «Share» или «Sharing» и дает им следующие названия:

winxp_crack.exe
dolly_buster.jpg.pif
strippoker.exe
photoshop 9 crack.exe
matrix.scr
porno.scr
angels.pif
hardcore porn.jpg.exe
office_crack.exe
serial.txt.exe
cool screensaver.scr
eminem - lick my pussy.mp3.pif
nero.7.exe
virii.scr
e-book.archive.doc.exe
max payne 2.crack.exe
how to hack.doc.exe
programming basics.doc.exe
e.book.doc.exe
win longhorn.doc.exe
dictionary.doc.exe
rfc compilation.doc.exe
sex sex sex sex.doc.exe
doom2.doc.pif

а также копирует несколько своих копий в формате ZIP c именами из списка:

document
msg
doc
talk
message
creditcard
details
attachment
me
stuff
posting
textfile
concert
information
note
bill
swimmingpool
product
topseller
ps
shower
aboutyou
nomoney
found
story
mails
website
friend
jokes
location
final
release
dinner
ranking
object
mail2
part2
disco
party
misc
#n#o#t#n#e#t#s#k#y#-#s#k#y#n#e#t#!

Червь ищет файлы с расширениями adb, asp, dbx, doc, eml, htm, html, msg, oft, php, pl, rtf, sht, tbb, txt, uin, vbs, и wab, находит в них адреса электронной почты и рассылает по ним свои копии. Для отправки писем используется собственная SMTP-библиотека.

Зараженные письма формируются из произвольных комбинаций: Тема:

Hi
hi
hello
read it immediately
something for you
warning
information
stolen
fake
unknown

Текст письма:

AnythingOk?
anything ok?
what does it mean?
ok
i'm waiting
read the details.
here is the document.
read it immediately!
my hero
here
is that true?
is that your name?
is that your account?
i wait for a reply!
is that from you?
you are a bad writer
I have your password!
something about you!
kill the writer of this document!
i hope it is not true!
your name is wrong
i found this document about you
yes, really?
that is bad
here it is
see you
greetings
stuff about you?
something is going wrong!
information about you
about me
from the chatter
here, the serials
here, the introduction
here, the cheats
that's funny
do you?
reply
take it easy
why?
thats wrong
misc
you earn money
you feel the same
you try to steal
you are bad
something is going wrong
something is fool

Червь удаляет из системы вирусы Mydoom и Bagle. Для этого из системного реестра удаляются ключи «Explorer» и «Taskmon» в следующих ветках:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
а также : HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32

1. Автор вредоносной программы окончил её разработку штаммом NetSky.K (по его собственному заявлению). Эта версия не производила никаких вредоносных действий, а лишь удаляла вирусы Mydoom и Bagle. Также в исходном коде было обнаружено послание, в котором говорилось, что вскоре в сети будет выложен код программы. Через два дня были обнаружены штаммы L и M. Специалисты считают, что они написаны «подражателями».
2. Штамм NetSky.X рассылал сообщения на английском, шведском, финском, польском, норвежском, португальском, итальянском, французском и немецком языках. "Во многих случаях оказывалось, что сообщение составлено с ошибками, что свидетельствует о том, что вирусописатель не обращался за помощью в переводе к тем, для кого эти языки родные. Вместо этого он пользовался какой-нибудь онлайновой системой перевода типа Babel Fish, " — утверждает финская антивирусная фирма F-Secure. В остальном NetSky.X похож на свои 23 собрата.
3. Червь проводит DoS-атаку (Denial of Service) на три немецких веб-сайта: www.nibis.de, www.medinfo.ufl.edu и www.educa.ch.
4. В августе 2006 года таблицу ТОП-10 вредоносных программ возглавил вирус Netsky.P, более двух лет сохраняющий лидерство, несмотря на доступность исправлений. Согласно опубликованному отчету аналитической фирмы Sophos, за месяц на долю Netsky.P пришлись 19,9 % всех сообщений о заражении вредоносным ПО. Netsky.P, который остается самым широко распространенным из червей e-mail, признан наиболее опасным вирусом 2004 года.

1. Описание вируса в базе Symantec (англ.)
2. Описание червя на сайте Viruslist.com Лаборатории Касперского
3. Описание от ЗАО «Диалог-Наука»
4. Описание от ЗАО «Диалог-Наука»
5. Новости от Positive Technology
6. ГАЗЕТА.ру — Автор Netsky.X слабоват в языках

• Хронология компьютерных вирусов и червей