Nombre:Worm/NetSky.X.12
Descubierto:09/01/2007
Tipo:Gusano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:29.184 Bytes
Suma de control MD5:47ce2ebadf10b72efe09623e05499778
Versión del VDF:6.36.01.018
Versión del IVDF:6.36.01.018

 General Método de propagación:
   • Correo electrónico


Alias:
   •  Mcafee: W32/Netsky@MM
   •  Kaspersky: Email-Worm.Win32.NetSky.x
   •  Grisoft: I-Worm/Netsky.EC
   •  Eset: Win32/Netsky.N
   •  Bitdefender: Win32.Netsky.W@mm


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros dañinos
   • Contiene su propio motor para generar mensajes de correo
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %WINDIR%\DiskMonitor.exe



Crea los siguientes ficheros:

– Copias codificadas MIME de si mismo:
   • %WINDIR%\constant
   • %WINDIR%\your_details.doc
   • %WINDIR%\666!.hel
   • %WINDIR%\document.htm
   • %WINDIR%\voltaput
   • %WINDIR%\doc.txt
   • %WINDIR%\mulala!!
   • %WINDIR%\doc.pif
   • %WINDIR%\vaca.vac
   • %WINDIR%\your_details.scr
   • %WINDIR%\puta.vac
   • %WINDIR%\document.exe
   • %WINDIR%\baseadofum
   • %WINDIR%\paula!.ama

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "AleVi"="%WINDIR%\DiskMonitor.exe"



Elimina del registro de Windows los valores de las siguientes claves:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Explorer
   • system
   • msgsvr32
   • service
   • DELETE ME
   • Sentry
   • Taskmon
   • Windows Services Host

–  [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Explorer
   • au.exe
   • d3dupdate.exe
   • OLE
   • gouday.exe
   • rate.exe
   • Taskmon
   • Windows Services Host
   • sysmon.exe
   • srate.exe
   • ssate.exe

–  [HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}]
   • InProcServer32

 Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:


De:
La dirección del remitente es falsa.


Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.


Asunto:
En algunos casos el campo del asunto está vacío.
Además, el campo del asunto podría incluir caracteres aleatorios.
El tema del correo se ha creado con lo siguiente:

    A veces empieza con:
   • RE:

    A veces seguido por una de las siguientes:
   • RE:

    Seguida por:
   • Nossas contas leia!
   • Aprovado!
   • Delicia!
   • Contas!
   • Obrigado!
   • Passou!!
   • Valeu!!
   • Grana
   • Pena
   • sol
   • BRAS


El cuerpo del mensaje:
– Contiene código HTML.
El cuerpo del mensaje es uno de los siguientes:

   • @Lamento sabe!

   • Olha a festa!!

   • Nao sei o que eh isso me diga! Tabela de precos de Natal veja!!!!.

   • Conta regularizada veja aqui!!

   • Veja os arquivos que te mandei aqui!!!.

   • Proposta de emprego veja

   • O que isso heim

   • Conta Fechada

   • Quero sua opiniao leia tudo ta bjs!

   • Tenho pressa ve e me liga!!!

   • Olha nossas fotos (RS)

   • Leia rapido o arquivo!!!!

   • Nossas contas veja detalhe

   • Por-favor entre em contato!!!.

   • Grande Oportunidade veja os detalhes !!!.


Y a continuación:

   • --------------------------------------------
     %nombre del archivo adjunto%:Nao Tem Virus!
     Norton AntiVirus Procura
     Progressiva
     FiqueProtegido www.symantec.com


Archivo adjunto:
El nombre del fichero adjunto está compuesto de los siguientes elementos:

–  Empieza por uno de los siguientes:
   • Bala
   • Cambau
   • Fotos!!
   • Me Liga ta???
   • Me liga vai
   • Mentira
   • Nossa Conta
   • Olha isso!!
   • Paes
   • Saia de Ferias
   • Sandra!!
   • Sua Conta!!!
   • Te Amo!
   • Vaga
   • Vida

A veces seguido por una de las siguientes:
   • _%el nombre de usuario desde la dirección de correo del destinatario%

    La extensión del fichero es una de las siguientes:
   • .zip
   • .pif
   • .exe
   • .scr



Algunos ejemplos de nombres de los ficheros adjuntos:
   • Bala__%el nombre de usuario desde la dirección de correo del destinatario%.exe
   • Sandra!!.pif

El archivo adjunto es una copia del propio programa malicioso.



El mensaje de correo puede tener una de las siguientes formas:



 Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • .xml; .wsh; .jsp; .msg; .oft; .sht; .dbx; .tbb; .adb; .dhtm; .cgi;
      .shtm; .uin; .rtf; .vbs; .doc; .wab; .asp; .php; .txt; .eml; .html;
      .htm; .pl


Prefijar los dominios de las direcciones de correo:
Para obtener la dirección IP del servidor de correo, añade los siguientes prefijos al nombre del dominio:
   • mail.
   • mx.
   • mx2.

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • VxBrasil_Causando!


Serie de caracteres:
Además, incluye la siguiente serie de caracteres:
   • Se voce esta lendo isso veja bem quero dizer que consigo codar um Worm sozinho so que nao estou afim entao ve se para de criticar algo que alguem fez e faca algo ta bom. Eh sim eh uma versao do NetSky Disassemblada e modificada Falou. Queria fazer um protesto aqui com essa merda de WORM que ja deu o que tinha que dar. Aonde nosso BRASIL vai parar? Queria um emprego descente so que so me derao migalhas? Ate quando teremos que tolerar essas pessoas que dizem fazer pela gente e fazem o mesmo que todo mundo mentem e roubao? Queria mais que um emprego descente queria ter Orgulho de ser BRASILEIRO!!!VXBRASIL NOS NAO ESTAMOS MORTOS SE PREPAREM PARA UMA NOVA ERA DOS VIRUS DE COMPUTADOR.11/11/2006 SAMPA!

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • PE Pack

Descripción insertada por Monica Ghitun el martes 9 de enero de 2007
Descripción actualizada por Monica Ghitun el martes 9 de enero de 2007

Volver . . . .