Nombre:Worm/NetSky.Z
Descubierto:21/04/2004
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Medio
Potencial de propagación:Medio
Potencial dañino:Bajo
Fichero estático:
Tamaño:22.016 Bytes
Suma de control MD5:2f4f05bb09b396579225615ab4121256
Versión del VDF:6.25.00.60

 General Método de propagación:
   • Correo electrónico


Alias:
   •  Symantec: W32.Netsky.Z@mm
   •  Mcafee: W32/Netsky.z@MM
   •  Kaspersky: Email-Worm.Win32.NetSky.aa
   •  TrendMicro: WORM_NETSKY.Z
   •  F-Secure: W32/Netsky.Z@mm
   •  Grisoft: I-Worm/Netsky.Z
   •  VirusBuster: I-Worm.Netsky.Z
   •  Bitdefender: Win32.Netsky.AA@mm


Plataforma / Sistema operativo:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Contiene su propio motor para generar mensajes de correo
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %WINDIR%\Jammer2nd.exe



Se copia a sí mismo en un archivo en la siguiente ubicación:
   • %WINDIR%\pk_zip_alg.log



Crea los siguientes ficheros:

– Copias codificadas MIME de si mismo:
   • %WINDIR%\pk_zip1.log
   • %WINDIR%\pk_zip2.log
   • %WINDIR%\pk_zip3.log
   • %WINDIR%\pk_zip4.log
   • %WINDIR%\pk_zip5.log
   • %WINDIR%\pk_zip6.log
   • %WINDIR%\pk_zip7.log
   • %WINDIR%\pk_zip8.log

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\software\microsoft\windows\currentversion\run]
   • "Jammer2nd"="%WINDIR%\Jammer2nd.exe"

 Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:


De:
La dirección del remitente es falsa.


Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.
– Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)
– La siguiente dirección de correo electrónico:
   • jamainlbbbsdef@yahoo.com


Asunto:
Uno de los siguientes:
   • Document
   • Hello
   • Hi
   • Important
   • Information



El cuerpo del mensaje:
El cuerpo del mensaje de correo es uno de los siguientes:
   • Important informations!
   • Important textfile!
   • Important!
   • Important data!
   • Important bill!
   • Important document!
   • Important notice!
   • Important details!
   • Information


Archivo adjunto:
El nombre del fichero adjunto es uno de los siguientes:
   • Informations.zip
   • Textfile.zip
   • Part-2.zip
   • Data.zip
   • Bill.zip
   • Important.zip
   • Notice.zip
   • Details.zip

 Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • .ppt; .xml; .wsh; .jsp; .msg; .oft; .sht; .nch; .mmf; .mht; .dbx;
      .tbb; .adb; .xls; .stm; .ods; .dhtm; .cgi; .shtm; .uin; .rtf; .vbs;
      .php; .txt; .eml; .doc; .wab; .asp; .html; .htm; .pl; .mdx; .cfg


Resolver DNS (nombres de servidores):
Si el pedido de usar el servidor DNS implícito falla, se realizan las siguientes acciones
Puede conectarse a los siguientes servidores DNS:
   • 212.44.160.8; 195.185.185.195; 151.189.13.35; 213.191.74.19;
      193.189.244.205; 145.253.2.171; 193.141.40.42; 194.25.2.134;
      194.25.2.133; 194.25.2.132; 194.25.2.131; 193.193.158.10;
      212.7.128.165; 212.7.128.162; 193.193.144.12; 217.5.97.137;
      195.20.224.234; 194.25.2.130; 194.25.2.129; 212.185.252.136;
      212.185.253.70; 212.185.252.73

 Backdoor (Puerta trasera) Abre el siguiente puerto:

%ficheros ejecutados% en un puerto TCP aleatorio 665 para proporcionar capabilidades de backdoor.

 DoS (Denegación de Servicios)  el 02/05/2004 hasta 05/05/2004 inicia ataques DoS en las siguientes destinaciones:
   • www.nibis.de
   • www.medinfo.ufl.edu
   • www.educa.ch

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • (S)(k)(y)(N)(e)(t)


Serie de caracteres:
Además, incluye la siguiente serie de caracteres:
   • :::::::::::They never learn it!:::::::::::

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • AS Pack 1.0

Descripción insertada por Victor Tone el jueves 1 de septiembre de 2005
Descripción actualizada por Victor Tone el viernes 2 de septiembre de 2005

Volver . . . .