Nombre:Worm/NetSky.AA
Descubierto:22/05/2005
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Medio
Potencial de propagación:Medio
Potencial dañino:Bajo
Fichero estático:
Tamaño:27.136 Bytes
Suma de control MD5:c43fa1b082302f3b8e01d77fb95c78c6
Versión del VDF:6.25.00.34

 General Método de propagación:
   • Correo electrónico


Alias:
   •  Symantec: W32.Netsky.Z@mm
   •  Mcafee: W32/Netsky
   •  Kaspersky: Email-Worm.Win32.NetSky.aa
   •  TrendMicro: WORM_NETSKY.Z
   •  F-Secure: W32/Netsky.AK@mm
   •  Grisoft: I-Worm/Netsky.Z
   •  VirusBuster: I-Worm.NetSky.Z1
   •  Bitdefender: Win32.Netsky.AA@mm


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Contiene su propio motor para generar mensajes de correo
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %WINDIR%\Jammer2nd.exe



Crea los siguientes ficheros:

– Crea el siguiente archivo, que incluye una copia del programa dañino:
   • %WINDIR%\pk_zip_alg.log

– Copias codificadas MIME de si mismo:
   • %WINDIR%\pk_zip1.log
   • %WINDIR%\pk_zip2.log
   • %WINDIR%\pk_zip3.log
   • %WINDIR%\pk_zip4.log
   • %WINDIR%\pk_zip5.log
   • %WINDIR%\pk_zip6.log
   • %WINDIR%\pk_zip7.log
   • %WINDIR%\pk_zip8.log

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Jammer2nd"="%WINDIR%\Jammer2nd.exe"

 Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:


De:
La dirección del remitente es falsa.
Direcciones generadas. Por favor no piense que ha sido la intención del remitente enviarle este mensaje de correo. Es posible que dicho remitente no esté al tanto de la infección o no esté infectado. Además, es posible que usted reciba mensajes devueltos, indicándole que está infectado. Esto también podría ser falso.


Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.
– Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)
El destinatario del mensaje es el siguiente:
   • jamainlbbbsdef@yahoo.com


Asunto:
Uno de los siguientes:
   • Document
   • Hello
   • Hi
   • Important
   • Information



El cuerpo del mensaje:
El cuerpo del mensaje de correo es uno de los siguientes:
   • Important bill!
   • Important data!
   • Important details!
   • Important document!
   • Important informations!
   • Important notice!
   • Important textfile!
   • Important!


Archivo adjunto:
El nombre del fichero adjunto es uno de los siguientes:
   • Bill.zip
   • Data.zip
   • Details.zip
   • Important.zip
   • Informations.zip
   • Notice.zip
   • Part-2.zip
   • Textfile.zip

 Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • .ppt; .xml; .wsh; .jsp; .msg; .oft; .sht; .nch; .mmf; .mht; .dbx;
      .tbb; .adb; .xls; .stm; .ods; .dhtm; .cgi; .shtm; .uin; .rtf; .vbs;
      .php; .txt; .eml; .doc; .wab; .asp; .html; .htm; .pl; .mdx; .mbx; .cfg


Resolver DNS (nombres de servidores):
Si el pedido de usar el servidor DNS implícito falla, se realizan las siguientes acciones
Puede conectarse a los siguientes servidores DNS:
   • 212.44.160.8; 195.185.185.195; 151.189.13.35; 213.191.74.19;
      193.189.244.205; 145.253.2.171; 193.141.40.42; 194.25.2.134;
      194.25.2.133; 194.25.2.132; 194.25.2.131; 193.193.158.10;
      212.7.128.165; 212.7.128.162; 193.193.144.12; 217.5.97.137;
      195.20.224.234; 194.25.2.130; 194.25.2.129; 212.185.252.136;
      212.185.253.70; 212.185.252.73

 Backdoor (Puerta trasera) Abre el siguiente puerto:

%ficheros ejecutados% en el puerto TCP 665 para proporcionar capabilidades de backdoor.

 DoS (Denegación de Servicios)  el 02/05/2004 inicia ataques DoS en las siguientes destinaciones:
   • www.nibis.de
   • www.medinfo.ufl.edu
   • www.educa.ch

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • (S)(k)(y)(N)(e)(t)


Serie de caracteres:
Además, incluye la siguiente serie de caracteres:
   • :::::::::::They never learn it!:::::::::::

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • ASPack 2.11c

Descripción insertada por Razvan Olteanu el lunes 29 de agosto de 2005
Descripción actualizada por Andrei Ivanes el martes 14 de marzo de 2006

Volver . . . .