Email-Worm.Win32.NetSky

Червь, распространяющийся через Интернет в виде вложений в зараженные электронные письма. Программа является приложением Windows (PE EXE-файл). Имеет размер 29568 байт. Упакована при помощи FSG. Распакованный размер – около 77 КБ. Написана на C++.

Инсталляция

Червь копирует свое тело по следующему пути:

%WinDir%FVProtect.exe

Извлекает из своего тела в каталог Windows библиотеку с именем:

%WinDir%userconfig9x.dll

Данный файл имеет размер 26624 байта и детектируется Антивирусом Касперского как Email-Worm.Win32.NetSky.q

Также червь создает следующие файлы в корневом каталоге Windows, которые содержат версию червя в MIME-кодировке:

%WinDir%zip1.tmp



%WinDir%zip2.tmp



%WinDir%zip3.tmp



%WinDir%base64.tmp

Кроме того, создает версию червя в ZIP-архиве:

%WinDir%zipped.tmp

Для автоматического запуска при следующем старте системы червь добавляет запись в ключ автозапуска системного реестра: