W32/Netsky.AG Worm

 Information about the W32/Netsky.AG Worm:

W32/Netsky.AG is an email worm. This worm is a variant of W32/Netsky. The worm will infect Windows systems. The worm spreads through email, shared network drives and KaZaA P2P software.

The infected email carries a spoofed 'From' address, picked up from the infected system.

The subject of the infected email will be any one of the following;

Abra rapido isso!!!!
0123456789
voce passou :D!!!
veja o que tem no zip e me liga
veja detalhes!!!.
ve ai logo ta
tudo sobre voce sabe
te amo!
receitas de bolo!!
promocao de viajens de fim de ano
preenche ai ta bom
sua conta bancaria zerada
sinto voce!!
reza de sao tome!!!!.
retorna logo isso!!
pq nao me liga??
parabens!
olha que isso!!!
meu telefone liga
me veja peladinha
me diz o queacha?
grana
gostaria disso e voce???
ganhe muita grana
ferias nos E.U.A
falea verdade!!!
algo a mais
acrdito que em voce!!!
Vacina contra o HIV!!
Surto :( govinda Sua Conta!!
Proposta de emprego!!
Policia SP
PizzaVeneza!
Medical Labs Exames!!!
Lembra?
Hackers do Brasil
Boleto Pague
estou doente veja!!!
encontro voce!
campanhadafome
arquivo zipado PGP???
amor me liga
AninhaPutinha +55operado6992292246
AmaVoce
diga
:)

The body of the infected email will be any one of the following;

voce passou :D!!!
veja o que tem no zip e me liga
veja detalhes!!!.
ve ai logo ta
vaca
tudo sobre voce sabe
te amo!
sua conta bancaria zerada
sinto voce!!
reza de sao tome!!!!.
retorna logo isso!!
receitas de bolo!!
promocao de viajens de fim de ano
preenche ai ta bom
pq nao me liga??
parabens!
olha que isso!!!
meu telefone liga
me veja peladinha
me diz o queacha?
grana
gostaria disso e voce???
ganhe muita grana
ferias nos E.U.A
falea verdade!!!
estou doente veja!!!
encontro voce!
campanhadafome
arquivo zipado PGP???
amor me liga
algo a mais
acrdito que em voce!!!
Vacina contra o HIV!!
Surto :(
Sua Conta!!
Proposta de emprego!!
Policia SP
PizzaVeneza!
Medical Labs Exames!!!
Lembra?
Hackers do Brasil
Boleto Pague
AmaVoce
Abra rapido isso!!!!
AMA!

The infected email has an attachment with any one of the following names;

zerado
war3!
vips!
vadias!
tetas
sorteado!!
sampa!!
robos!
revista
pescaria por kilo
morto
missao
massas!
lulao!
loterias
lantrocidade
jogo!
impressao!!
imposto
grana!!
grana
flipe
festa!!
email
dinheiro!!
criancas!
contas!!
circular
carros!
brasil!
botao
bingos!
banco!
agua!
agradou
Sua saude esta bem?
LINUSTOR
AIDS!

followed by any one of the extension;

.zip, .scr, .pif, .com, .bat.

Upon execution of the infected attachment, it displays a dialog box with a message, "File corrupted replace this!". The worm copies itself as MsnMsgrs.exe in Windows folder. After this, it creates a Registry entry at the following location to load itself each time Windows is restarted.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

The worm attempts to create copies of itself in any folder and network shares that contains the string share or sharing. The worm files will have the following file names:

vota!.zip.scr
vida!!.zip.scr
vadias peladas!!.scr
traficoemSP!.scr
rocha.scr
rede globo tv!.zip.scr
receitas de bolo!!.zip.scr
puteiros!!.scr
paula!.scr
multas.pif
minhavida!.zip.exe
importante!!!!!.zip.scr
comoserrico!.zip.scr
clica ai logo meu.scr
celulares!!.zip.scr
caspa.scr
cafe!!.zip.scr
barrio.scr
aninha gatinha!.zip.scr
VivaNaBaia!.scr
ResidentEvil2.zip.scr
MulataDandoOcujpg.scr
Carnaval em Salvador!!.zip.scr
Canaval2004!.jpg.pif

To propagate itself, the worm scans the files having the following extensions and collects all the available email addresses from the infected system;

.wab, .vbs, .uin, .tbb, .sht, .rtf, .pl, .php, .php, .oft, .html, .htm, .eml, .doc, .dbx, .asp, .adb .

This worm first appeared on 13th October, 2004.

 Other names of W32/Netsky.AG Worm:

This Worm is also known as W32/Netsky.ag@MM, WORM_NETSKY.AF, W32.Netsky.AD@mm .