Nome: I-WORM.Netsky.D

Alias: 

Tipologia: Internet Worm

Dimensione: 17424 byte 

Piattaforma: Win 95/98/ME/NT/2000/XP 

Descrizione:

Questo worm arriva attraverso la posta elettronica allegando un file infetto. 

Il mittente del messaggio infetto non è quello reale, cioè il worm crea un messaggio di posta con il mittente preso casualmente dagli indirizzi email dell'utente infetto.
In questo modo è impossibile risalire all'utente infetto.

Il messaggio infetto ha i seguenti oggetti:

Re: Your website 
Re: Your product 
Re: Your letter 
Re: Your archive 
Re: Your text 
Re: Your bill 
Re: Your details 
Re: My details 
Re: Word file 
Re: Excel file 
Re: Details 
Re: Approved 
Re: Your software 
Re: Your music 
Re: Here 
Re: Re: Re: Your document 
Re: Hello 
Re: Hi 
Re: Re: Message 
Re: Your picture 
Re: Here is the document 
Re: Your document 
Re: Thanks! 
Re: Re: Thanks! 
Re: Re: Document 
Re: Document


Con i seguenti corpi di messaggio:

Your file is attached. 
Please read the attached file. 
Please have a look at the attached file. 
See the attached file for details. 
Here is the file. 
Your document is attached.



Il worm può allegare uno dei seguenti file infetti:

your_website.pif 
your_product.pif 
your_letter.pif 
your_archive.pif 
your_text.pif 
your_bill.pif 
your_details.pif 
document_word.pif 
document_excel.pif 
my_details.pif 
all_document.pif 
application.pif 
mp3music.pif 
yours.pif 
document_4351.pif 
your_file.pif 
message_details.pif 
your_picture.pif 
document_full.pif 
message_part2.pif 
document.pif 
your_document.pif


Se eseguito il worm crea il seguente file WINLOGON.EXE nella cartella di WINDOWS e
modifica il file di registro per metterlo in esecuzione automatica.


Il worm Netsky recupera gli indirizzi e-mail dai seguenti file: .msg .oft .sht
.dbx .tbb .adb .doc .wab .asp .uin .rtf
.vbs .html .htm .pl .php .txt .eml

01/03/2004 - Tutti i diritti riservati TG Soft S.a.s. - http://www.tgsoft.it

Analisi a cura: Ing. G. Tonello