Win32/Netsky [Threat Name] go to Threat

Win32/Netsky.C [Threat Variant Name]

Category worm
Detection created Feb 25, 2004
Detection database version 1632
Short description

Win32/Netsky.C is a worm that spreads via e-mail and shared folders.

Installation

When executed, the worm copies itself into the %windir% folder using the following name:

  • winlogon.exe

In order to be executed on every system start, the worm sets the following Registry entry:

  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows\­CurrentVersion\­Run]
    • "ICQ Net" = "%windir%\­winlogon.exe –stealth"

The following Registry entries are deleted:

  • HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows\­CurrentVersion\­Run\­Windows Services Host
  • HKEY_CURRENT_USER\­SOFTWARE\­Microsoft\­Windows\­CurrentVersion\­Run\­Windows Services Host
  • HKEY_CURRENT_USER\­SOFTWARE\­Microsoft\­Windows\­CurrentVersion\­Run\­d3dupdate.exe
  • HKEY_CURRENT_USER\­SOFTWARE\­Microsoft\­Windows\­CurrentVersion\­Run\­au.exe
  • HKEY_CURRENT_USER\­SOFTWARE\­Microsoft\­Windows\­CurrentVersion\­Run\­OLE
  • HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows\­CurrentVersion\­Run\­Service
  • HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows\­CurrentVersion\­Run\­Sentry
  • HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows\­CurrentVersion\­Run\­msgsvr32
  • HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows\­CurrentVersion\­Run\­DELETE ME
  • HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows\­CurrentVersion\­Run\­Taskmon
  • HKEY_CURRENT_USER\­SOFTWARE\­Microsoft\­Windows\­CurrentVersion\­Run\­Taskmon
  • HKEY_CLASSES_ROOT\­CLSID\­{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\­InProcServer32
  • HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows\­CurrentVersion\­Run\­Explorer
  • HKEY_CURRENT_USER\­SOFTWARE\­Microsoft\­Windows\­CurrentVersion\­Run\­Explorer
  • HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows\­CurrentVersion\­Run\­KasperskyAv
  • HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows\­CurrentVersion\­Run\­system.
  • HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows\­CurrentVersion\­RunServices\­system.
  • HKEY_CURRENT_USER\­Software\­Microsoft\­Windows\­CurrentVersion\­Explorer\­PINF
  • HKEY_LOCAL_MACHINE\­System\­CurrentControlSet\­Services\­WksPatch
Spreading via e-mail

E-mail addresses for further spreading are searched for in local files with one of the following extensions:

  • .dhtm
  • .cgi
  • .shtm
  • .msg
  • .oft
  • .sht
  • .dbx
  • .tbb
  • .adb
  • .doc
  • .wab
  • .asp
  • .uin
  • .rtf
  • .vbs
  • .html
  • .htm
  • .pl
  • .php
  • .txt
  • .eml

Addresses containing the following strings are avoided:

  • abuse
  • orton
  • f-pro
  • aspersky
  • cafee
  • orman
  • itdefender
  • f-secur
  • spam
  • ymantec
  • antivi
  • icrosoft

Subject of the message is one of the following:

  • Delivery Failed
  • Here is it
  • I'm back!
  • Question
  • Re: <5664ddff?$??ž2>
  • Re: Re: Re: Re:
  • Re: does it?
  • Re: does it?
  • Re: excuse me
  • Re: hello
  • Re: hey
  • Re: hi
  • Re: important
  • Re: information
  • Re: unknown
  • Status
  • Yep
  • believe me
  • dear
  • denied!
  • error
  • exception
  • excuse me
  • fake?
  • good morning
  • hello
  • hey
  • hi
  • illegal...
  • important
  • info
  • its me
  • last chance!
  • lol
  • moin
  • notice!
  • notification
  • oh
  • private?
  • question
  • re:
  • read it immediatelly
  • report
  • something for you
  • stolen
  • take it
  • trust me
  • warning
  • what's up?
  • you?

Body of the message can contain some of the following:

  • *lol*
  • ;-)
  • <...>
  • <09580985869gj>
  • <<>>
  • Antispam is turned off. See file!
  • Authentification required. Read the att
  • File is bad.
  • File is damaged.
  • File is self-decryting.
  • I 've found your bill!
  • I don't know your document!
  • I have your password!
  • I wait for an answer!
  • Instant patches.
  • Login required! Read the attachment!
  • Microsoft
  • Transaction failed. Show the doc!
  • You are infected. Read the details!
  • Your bill.
  • Your provider will be disabled!
  • a crazy doc about you
  • abuse?
  • account?
  • already?
  • another pic, have fun! ... :->
  • are you a photographer?
  • are you a teacherin the picture?
  • are you cranky?
  • are you the naked one?
  • are you the naked person!
  • are you the one?
  • attachi#
  • be mad?
  • best?
  • bob the builder
  • child or adult?
  • child porn?
  • classroom test of you?
  • copyright?
  • correct it!
  • did you ask me for that?
  • did you know from this document?
  • did you know that?
  • did you see her already?
  • did you sent it to me?
  • do not give up!
  • do not open the attachment!
  • do not show this anyone!
  • do not use my document!
  • do not use this creditcard!
  • do not visit the pages on the list I se
  • do you have an orgasm in the picture?
  • do you have sex in the picture?
  • do you have the bug also?
  • do you have?
  • do you know the thief?
  • do you know this????
  • do you think so?
  • doc about me?
  • doc?
  • docs?
  • does it belong to you?
  • does it belong to you?
  • does it match?
  • does it matter?
  • drugs? ...
  • excellent!
  • explain!
  • fast food...
  • feel free to use it.
  • forgotten?
  • from the chatter (my photo!)
  • from your lover ;-)
  • gonna?
  • good work!
  • great job!
  • great xxx!
  • great!
  • greetings
  • help attached
  • her.
  • here is it.
  • here is my advice.
  • here is my photo!
  • here is the $%%454$
  • here is the 
  • here is the document.
  • here is the next one!
  • here is yours!
  • here, the cheats
  • here, the introduction
  • here, the serials
  • how?
  • i am desperate
  • i am speachless about your document!
  • i don't think so.
  • i don't want your xxx pics!
  • i found that about you!
  • i found this document about you.
  • i have received this.
  • i hope thats not true!
  • i know your document!
  • i like your doc!
  • i lost that
  • i need you!
  • i saw you last week!
  • i wait for your comment about it.
  • i want more...
  • i've found it about you
  • illegal st. of you?
  • important?
  • in your mind?
  • incest?
  • information about you?
  • instruct me about this!
  • is that criminal?
  • is that possible?
  • is that the reality?
  • is that true?
  • is that your TAN?
  • is that your account?
  • is that your account?
  • is that your attachment?
  • is that your beast?
  • is that your car?
  • is that your car?
  • is that your cd?
  • is that your creditcard?
  • is that your domain?
  • is that your family?
  • is that your finger?
  • is that your message?
  • is that your name?
  • is that your photo?
  • is that your porn pic?
  • is that your privacy?
  • is that your slip?
  • is that your website?
  • is that your wife?
  • is that your work?
  • is that yours?
  • is the pic a fake?
  • is this information about you?
  • it's a secret!
  • it's so similar as yours!
  • its private from me
  • kill him on the picture!
  • kill the writer of this document!
  • let it!
  • lets talk about it!
  • love letter?
  • man or women?
  • meaning of that?
  • message?
  • misc. and so on. see you!
  • modifications?
  • money?
  • msg
  • my advice....
  • never!
  • new patch is available!
  • ok...
  • old photos about you?
  • only encrypted!
  • pages?
  • personal message!
  • picture?
  • poor quality!
  • possible?
  • pretty pic about you?
  • pwd?
  • read it immediately!
  • read the details.
  • really?
  • reply
  • schoolfriend?
  • see this!
  • see your name!
  • solve the problem!
  • something about you!
  • something is going ...
  • something is going wrong!
  • something is not ok
  • stuff about you?
  • such as yours?
  • take it easy!
  • tell me more about your document!
  • test it
  • that is interesting...
  • that's a funny text.
  • that's not the truth?
  • thats wrong!
  • the information is wrong!
  • the truth?
  • this file is bad!
  • this is an attachment message!
  • this is nothing for kids!
  • time to fear?
  • trial?
  • try this patch!
  • what do you think about it?
  • what means that?
  • what still?
  • what?
  • who?
  • why should I?
  • why?
  • wrong calculation! (see the attachment!
  • xxx ?
  • xxx about you?
  • xxx service
  • yes.
  • you are a bad writer
  • you are bad
  • you are naked in this document!
  • you are sexy in this doc!
  • you cannot hide yourself! (see photo)
  • you earn money, see the attachment!
  • you feel the same.
  • you have a sexy body in the pic!
  • you have done a mistake in the document
  • you have tried to steal!
  • you look like an ape!
  • you look like an rat?
  • you won the rk!
  • your TAN number?
  • your account is expired!
  • your are naked?
  • your attachment? verify it.
  • your body?
  • your design is not good!
  • your document is not good
  • your document is silly!
  • your eyes?
  • your face?
  • your hero in the picture?
  • your icq number?
  • your job? (I found that!)
  • your lie is going around the world!
  • your name is wrong!
  • your personal record?
  • your photo is poor
  • yours?

The attachment is either an executable of the worm, or a ZIP archive containing it.


A double extension may be used.


The first is one of the following:

  • .txt
  • .rtf
  • .doc
  • .htm

The second is one of the following:

  • .pif
  • .com
  • .scr
  • .exe

If an archive is attached, the name has the following extension:

  • .zip
Spreading via shared folders

The worm searches for various shared folders.


The executables of the worm are copied there using the following names:

  • 1000 Sex and more.rtf.exe
  • 3D Studio Max 3dsmax.exe
  • ACDSee 9.exe
  • Adobe Photoshop 9 full.exe
  • Adobe Premiere 9.exe
  • Ahead Nero 7.exe
  • Best Matrix Screensaver.scr
  • Clone DVD 5.exe
  • Cracks & Warez Archive.exe
  • Dark Angels.pif
  • Dictionary English - France.doc.exe
  • DivX 7.0 final.exe
  • Doom 3 Beta.exe
  • E-Book Archive.rtf.exe
  • Full album.mp3.pif
  • Gimp 1.5 Full with Key.exe
  • How to hack.doc.exe
  • IE58.1 full setup.exe
  • Keygen 4 all appz.exe
  • Learn Programming.doc.exe
  • Lightwave SE Update.exe
  • MS Service Pack 5.exe
  • Magix Video Deluxe 4.exe
  • Microsoft Office 2003 Crack.exe
  • Microsoft WinXP Crack.exe
  • Norton Antivirus 2004.exe
  • Opera.exe
  • Partitionsmagic 9.0.exe
  • Porno Screensaver.scr
  • RFC Basics Full Edition.doc.exe
  • Screensaver.scr
  • Serials.txt.exe
  • Smashing the stack.rtf.exe
  • Star Office 8.exe
  • Teen Porn 16.jpg.pif
  • The Sims 3 crack.exe
  • Ulead Keygen.exe
  • Virii Sourcecode.scr
  • Visual Studio Net Crack.exe
  • Win Longhorn Beta.exe
  • WinAmp 12 full.exe
  • WinXP eBook.doc.exe
  • Windows Sourcecode.doc.exe
  • XXX hardcore pic.jpg.exe
Other information

The worm contains the following text:

  • <-<- we are the skynet - you can't hide yourself! - we kill malware writers (they have no chance!) - [LaMeRz-->]MyDoom.F is a thief of our idea! - -< SkyNet AV vs. Malware >- ->->

Please enable Javascript to ensure correct displaying of this content and refresh this page.