Nome: I-WORM.Netsky.D
Alias:
Tipologia: Internet Worm
Dimensione: 17424 byte
Piattaforma: Win 95/98/ME/NT/2000/XP
Descrizione:
Questo worm arriva attraverso la posta elettronica allegando un file infetto.
Il mittente del messaggio infetto non è quello reale, cioè il worm crea un messaggio di posta con il mittente preso casualmente dagli
indirizzi email dell'utente infetto.
In questo modo è impossibile risalire all'utente infetto.
Il messaggio infetto ha i seguenti oggetti:
Re: Your website
Re: Your product
Re: Your letter
Re: Your archive
Re: Your text
Re: Your bill
Re: Your details
Re: My details
Re: Word file
Re: Excel file
Re: Details
Re: Approved
Re: Your software
Re: Your music
Re: Here
Re: Re: Re: Your document
Re: Hello
Re: Hi
Re: Re: Message
Re: Your picture
Re: Here is the document
Re: Your document
Re: Thanks!
Re: Re: Thanks!
Re: Re: Document
Re: Document
Con i seguenti corpi di messaggio:
Your file is attached.
Please read the attached file.
Please have a look at the attached file.
See the attached file for details.
Here is the file.
Your document is attached.
Il worm può allegare uno dei seguenti file infetti:
your_website.pif
your_product.pif
your_letter.pif
your_archive.pif
your_text.pif
your_bill.pif
your_details.pif
document_word.pif
document_excel.pif
my_details.pif
all_document.pif
application.pif
mp3music.pif
yours.pif
document_4351.pif
your_file.pif
message_details.pif
your_picture.pif
document_full.pif
message_part2.pif
document.pif
your_document.pif
Se eseguito il worm crea il seguente file WINLOGON.EXE nella cartella di WINDOWS e
modifica il file di registro per metterlo in esecuzione automatica.
Il worm Netsky recupera gli indirizzi e-mail dai seguenti file: .msg .oft .sht
.dbx .tbb .adb .doc .wab .asp .uin .rtf
.vbs .html .htm .pl .php .txt .eml
01/03/2004 - Tutti i diritti riservati TG Soft S.a.s. - http://www.tgsoft.it
Analisi a cura: Ing. G. Tonello