¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Netsky.AB
Descubierto:13/12/2012
Tipo:Gusano
En circulacin (ITW):No
Nmero de infecciones comunicadas:Bajo
Potencial de propagacin:Medio
Potencial daino:Bajo
Fichero esttico:S
Tamao:17.920 Bytes
Suma de control MD5:06E4CFD33F5ED9AF43FE012C759BDA60
Versin del VDF:7.11.53.216

 General Mtodo de propagacin:
   • Correo electrnico


Alias:
   •  Symantec: W32/Netsky-AB
   •  Mcafee: W32/Netsky.ab@MM
   •  Kaspersky: I-Worm.Netsky.ac
   •  TrendMicro: WORM_NETSKY.AB
   •  Sophos: W32/Netsky-AB
   •  Grisoft: I-Worm/Netsky.AB
   •  VirusBuster: I-Worm.NetSky.AB
   •  Eset: Win32/Netsky.AB
   •  Bitdefender: Win32.Netsky.AC@mm


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Contiene su propio motor para generar mensajes de correo
   • Modificaciones en el registro

 Ficheros Se copia a s mismo en la siguiente ubicacin:
   • %WINDIR%\csrss.exe

 Registro Aade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "BagleAV"="%WINDIR%\csrss.exe"



Elimina del registro de Windows los valores de las siguientes claves:

–  HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "drvsys.exe"="%WINDIR%\drvsys.exe"

–  HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "ssgrate.exe"="%WINDIR%\ssgrate.exe"

 Correo electrnico Incluye un motor SMTP integrado para enviar mensajes. Establecer una conexin con el servidor de destinacin. Las caractersticas se describen a continuacin:
AM (GMT)


De:
La direccin del remitente es falsa.
El remitente del mensaje de correo es el siguiente:
   • xdfggra@yahoo.com


Para:
– Direcciones de correo encontradas en ficheros especficos del sistema.


El diseo de los mensajes de correo:



Asunto: More samples
Cuerpo del mensaje:
   • Do you have more samples?
Adjunto:
   • your_picture.pif



Asunto: Wow
Cuerpo del mensaje:
   • Why do you show your body?
Adjunto:
   • image034.pif



Asunto: Text
Cuerpo del mensaje:
   • The text you sent to me is not so good!
Adjunto:
   • your_text01.pif



Asunto: Question
Cuerpo del mensaje:
   • Does it hurt you?
Adjunto:
   • your_picture.pif



Asunto: Pictures
Cuerpo del mensaje:
   • Your pictures are good!
Adjunto:
   • your_picture01.pif



Asunto: Money
Cuerpo del mensaje:
   • Do you have no money?
Adjunto:
   • your_bill.pif



Asunto: Hurts
Cuerpo del mensaje:
   • How can I help you?
Adjunto:
   • hurts.pif



Asunto: Numbers
Cuerpo del mensaje:
   • Are your numbers correct?
Adjunto:
   • pin_tel.pif



Asunto: Letter
Cuerpo del mensaje:
   • Do you have written the letter?
Adjunto:
   • your_letter_03.pif



Asunto: Letter
Cuerpo del mensaje:
   • True love letter?
Adjunto:
   • your_letter.pif



Asunto: Only love?
Cuerpo del mensaje:
   • Wow! Why are you so shy?
Adjunto:
   • loveletter02.pif



Asunto: Correction
Cuerpo del mensaje:
   • Please use the font arial!
Adjunto:
   • corrected_doc.pif



Asunto: Picture
Cuerpo del mensaje:
   • Do you have more photos about you?
Adjunto:
   • all_pictures.pif



Asunto: Funny
Cuerpo del mensaje:
   • You have no chance...
Adjunto:
   • your_text.pif



Asunto: Privacy
Cuerpo del mensaje:
   • Still?
Adjunto:
   • document1.pif



Asunto: Password
Cuerpo del mensaje:
   • I've your password. Take it easy!
Adjunto:
   • passwords02.pif



Asunto: Criminal
Cuerpo del mensaje:
   • Hey, are you criminal?
Adjunto:
   • myabuselist.pif



Asunto: Stolen
Cuerpo del mensaje:
   • Do you have asked me?
Adjunto:
   • my_stolen_document.pif



Asunto: Illegal
Cuerpo del mensaje:
   • Please do not send me your illegal stuff again!!!
Adjunto:
   • abuses.pif



Asunto: Found
Cuerpo del mensaje:
   • I've found your creditcard. Check the data!
Adjunto:
   • visa_data.pif



El mensaje de correo puede tener una de las siguientes formas:



 Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • ADB; ASP; CFG; CGI; DBX; DHTM; DOC; EML; HTM; HTML; JSP; MBX; MDX;
      MHT; MMF; MSG; NCH; ODS; OFT; PHP; PL; PPT; RTF; SHT; SHTM; STM; TBB;
      TXT; UIN; VBS; WAB; WSH; XLS; XML


Evita las direcciones:
No enva mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:
   • iruslis; antivir; sophos; freeav; andasoftwa; skynet; messagelabs;
      abuse; fbi; orton; f-pro; aspersky; cafee; orman; itdefender; f-secur;
      avp; spam; ymantec; antivi; icrosoft


Resolver DNS (nombres de servidores):
Si el pedido de usar el servidor DNS implcito falla, se realizan las siguientes acciones
Puede conectarse a los siguientes servidores DNS:
   • 212.7.128.162; 212.7.128.165; 193.193.158.10; 194.25.2.131;
      194.25.2.132; 194.25.2.133; 194.25.2.134; 62.155.255.16;
      212.185.252.73; 212.185.253.70; 212.185.252.136; 194.25.2.129;
      194.25.2.130; 195.20.224.234; 217.5.97.137; 194.25.2.129;
      193.193.144.12; 193.141.40.42; 145.253.2.171; 193.189.244.205;
      213.191.74.19; 151.189.13.35; 195.185.185.195; 212.44.160.8

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • S-k-y-n-e-t--A-n-t-i-v-i-r-u-s-T-e-a-m


Serie de caracteres:
Adems, incluye la siguiente serie de caracteres:
   • Hey Bagle, feel our revenge!

 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.


Fecha de la compilacin:
Fecha: 22/04/2003
Hora: 22:44:02

Descripción insertada por Dragos Tomescu el miércoles 27 de julio de 2005
Descripción actualizada por Dragos Tomescu el miércoles 23 de noviembre de 2005

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.