Descripción completa

Nombre:	Worm/NetSky.B.1
Descubierto:	18/02/2004
Tipo:	Gusano
En circulación (ITW):	Sí
Número de infecciones comunicadas:	Medio
Potencial de propagación:	Medio-alto
Potencial dañino:	Bajo
Fichero estático:	Sí
Tamaño:	22.016 Bytes
Suma de control MD5:	D4A3677976B656AEC6AFCF2E03459A8D
Versión del VDF:	6.24.0.9

General Métodos de propagación:
   • Correo electrónico
   • Peer to Peer

Alias:
   • Symantec: W32.Netsky.B@mm
   • Mcafee: W32/Netsky.b@MM
   • Kaspersky: Email-Worm.Win32.NetSky.b
   • TrendMicro: WORM_NETSKY.B
   • F-Secure: W32/Netsky.B@mm
   • Grisoft: I-Worm/Netsky.B
   • VirusBuster: I-Worm/Netsky.B
   • Bitdefender: Win32.Netsky.B@mm

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Suelta ficheros dañinos
   • Contiene su propio motor para generar mensajes de correo
   • Modificaciones en el registro

Inmediatamente después de su ejecución, muestra la siguiente información:

Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %WINDIR%\services.exe

Se copia a sí mismo en un archivo en las siguientes ubicaciones:
   • %WINDIR%\misc.zip
   • %WINDIR%\party.zip
   • %WINDIR%\disco.zip
   • %WINDIR%\part2.zip
   • %WINDIR%\mail2.zip
   • %WINDIR%\object.zip
   • %WINDIR%\ranking.zip
   • %WINDIR%\dinner.zip
   • %WINDIR%\release.zip
   • %WINDIR%\final.zip
   • %WINDIR%\location.zip
   • %WINDIR%\jokes.zip
   • %WINDIR%\friend.zip
   • %WINDIR%\website.zip
   • %WINDIR%\mails.zip
   • %WINDIR%\story.zip
   • %WINDIR%\found.zip
   • %WINDIR%\nomoney.zip
   • %WINDIR%\aboutyou.zip
   • %WINDIR%\shower.zip
   • %WINDIR%\topseller.zip
   • %WINDIR%\product.zip
   • %WINDIR%\swimmingpool.zip
   • %WINDIR%\bill.zip
   • %WINDIR%\note.zip
   • %WINDIR%\concert.zip
   • %WINDIR%\textfile.zip
   • %WINDIR%\posting.zip
   • %WINDIR%\stuff.zip
   • %WINDIR%\attachment.zip
   • %WINDIR%\details.zip
   • %WINDIR%\creditcard.zip
   • %WINDIR%\message.zip
   • %WINDIR%\talk.zip
   • %WINDIR%\doc.zip
   • %WINDIR%\msg.zip
   • %WINDIR%\document.zip
   • %WINDIR%\unknown.zip
   • %WINDIR%\fake.zip
   • %WINDIR%\stolen.zip
   • %WINDIR%\information.zip
   • %WINDIR%\warning.zip

Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "service"="%WINDIR%\services.exe -serv"

Elimina del registro de Windows los valores de las siguientes claves:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Taskmon
   • system
   • KasperskyAv
   • Explorer

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • system

– [HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}]
   • InProcServer32

– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Taskmon
   • Explorer

Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:

De:
La dirección del remitente es falsa.

Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.

Asunto:
Uno de los siguientes:
   • unknown
   • fake
   • stolen
   • information
   • warning
   • something for you
   • read it immediately
   • hello
   • hi

El cuerpo del mensaje:
El cuerpo del mensaje de correo es uno de los siguientes:
   • something is fool
   • something is going wrong
   • you are bad
   • you try to steal
   • you feel the same
   • you earn money
   • thats wrong
   • why?
   • take it easy
   • reply
   • do you?
   • that's funny
   • here, the cheats
   • here, the introduction
   • here, the serials
   • from the chatter
   • about me
   • information about you
   • something is going wrong!
   • stuff about you?
   • greetings
   • see you
   • here it is
   • that is bad
   • yes, really?
   • i found this document about you
   • your name is wrong
   • i hope it is not true!
   • kill the writer of this document!
   • something about you!
   • I have your password!
   • you are a bad writer
   • is that from you?
   • i wait for a reply!
   • is that your account?
   • is that your name?
   • is that true?
   • here
   • my hero
   • read it immediately!
   • here is the document.
   • read the details.
   • i'm waiting
   • what does it mean?
   • anything ok?

Archivo adjunto:
Los nombres de los ficheros adjuntos están compuestos de los siguientes elementos:

– Empieza por uno de los siguientes:
   • aboutyou
   • attachment
   • bill
   • concert
   • creditcard
   • details
   • dinner
   • disco
   • doc
   • document
   • final
   • found
   • friend
   • information
   • jokes
   • location
   • mail2
   • mails
   • me
   • message
   • misc
   • msg
   • nomoney
   • note
   • object
   • part2
   • party
   • posting
   • product
   • ps
   • ranking
   • release
   • shower
   • story
   • stuff
   • swimmingpool
   • talk
   • textfile
   • topseller
   • website

    A veces seguido por una de las siguientes extensiones falsas:
   • .doc
   • .htm
   • .rtf
   • .txt

    La extensión del fichero es una de las siguientes:
   • .com
   • .exe
   • .pif
   • .scr
   • .zip

Algunos ejemplos de nombres de los ficheros adjuntos:
   • posting.txt.com
   • concert.zip
   • creditcard.pif

El archivo adjunto es una copia del propio programa malicioso.

El mensaje de correo puede tener una de las siguientes formas:

Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • .msg; .oft; .sht; .dbx; .tbb; .adb; .doc; .wab; .asp; .uin; .rtf;
      .vbs; .html; .htm; .pl; .php; .txt; .eml

Servidor MX:
Si el pedido empleando el servidor MX implícito falla, continúa con los siguientes:
Puede conectarse al servidor MX:
   • 217.5.100.1

P2P Para infectar otros sistemas de las redes Peer-to-Peer, realiza las siguientes operaciones:

–   Busca directorios que contengan una de las siguientes subseries de caracteres:
   • "share"
   • "sharing"

   Al tener éxito, crea los siguientes ficheros:
   • doom2.doc.pif; sex sex sex sex.doc.exe; rfc compilation.doc.exe;
      dictionary.doc.exe; win longhorn.doc.exe; e.book.doc.exe; programming
      basics.doc.exe; how to hack.doc.exe; max payne 2.crack.exe;
      e-book.archive.doc.exe; virii.scr; nero.7.exe; eminem - lick my
      pussy.mp3.pif; cool screensaver.scr; serial.txt.exe; office_crack.exe;
      hardcore porn.jpg.exe; angels.pif; porno.scr; matrix.scr; photoshop 9
      crack.exe; strippoker.exe; dolly_buster.jpg.pif; winxp_crack.exe

Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
• AdmSkynetJklS003

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
• UPX

Descripción insertada por Andrei Gherman el lunes 29 de agosto de 2005
Descripción actualizada por Andrei Gherman el miércoles 31 de agosto de 2005

Volver . . . .

Protección destacada para PC del hogar

Productos gratis

Más populares

Todos los productos

Paquetes de soluciones

Terminales

Server

Paquetes de soluciones

Puertas de enlace de correo

Puertas de enlace web

Plataformas de colaboración

Particulares

Empresas

Laboratorio de virus

Más soporte

Hágase socio de Avira

Particulares

Empresas

?Solo quiere evaluar un producto?

Manuales y herramientas