Nombre:Worm/Netsky.O.2
Descubierto:16/04/2004
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:24.064 Bytes
Suma de control MD5:e6d771c24e8dbaf9543851e893c3e304
Versión del IVDF:6.25.00.16 - viernes 16 de abril de 2004

 General Método de propagación:
   • Correo electrónico


Alias:
   •  Mcafee: W32/Netsky.w
   •  Sophos: W32/Netsky-N
   •  Panda: W32/Netsky.W.worm
   •  Eset: Win32/Netsky.N
   •  Bitdefender: Win32.NetSky.X@mm


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros dañinos
   • Contiene su propio motor para generar mensajes de correo
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %WINDIR%\VisualGuard.exe



Crea los siguientes ficheros:

%WINDIR%\zip1.tmp
%WINDIR%\zip4.tmp
%WINDIR%\base64.tmp
%WINDIR%\zip3.tmp
%WINDIR%\zip5.tmp Los análisis adicionales indicaron que este fichero es también viral. Detectado como: Worm/Netsky.W.1

%WINDIR%\zipped.tmp Los análisis adicionales indicaron que este fichero es también viral. Detectado como: Worm/Netsky.X

%WINDIR%\zip2.tmp
%WINDIR%\zip6.tmp

 Registro Añade uno de los siguientes valores en el registro, para ejecutar los procesos al reiniciar el sistema:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "NetDy"="%WINDIR%\VisualGuard.exe"



Elimina del registro de Windows los valores de las siguientes claves:

–  [HKLM\SOFTWARE\Classes\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\
   InProcServer32]
   • "@"
   • "ThreadingModel"

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "d3dupdate.exe"
   • "Explorer"
   • "Taskmon"
   • "Windows Services Host"
   • "au.exe"
   • "sysmon.exe"
   • "ssate.exe"
   • "gouday.exe"
   • "rate.exe"
   • "srate.exe"
   • "OLE"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Explorer"
   • "service"
   • "system."
   • "Taskmon"
   • "Sentry"
   • "Windows Services Host"
   • "DELETE ME"
   • "msgsvr32"

 Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:
Emplea Messaging Application Programming Interface (MAPI) para enviar mensajes de correo. Las características están descritas a continuación:


De:
La dirección del remitente es falsa.
La dirección del remitente es la cuenta de Outlook del usuario.


Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.
– Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)
The subject of the email is constructed out of the (es)

    Empieza por uno de los siguientes:
   • Re:

    A veces seguido por una de las siguientes:
   • Re:

    Seguida por:
   • read it immediately
   • important
   • improved
   • patched
   • corrected
   • approved
   • thanks!
   • hello
   • hi
   • here
   • document_all
   • text
   • message
   • data
   • excel document
   • word document
   • bill
   • screensaver
   • application
   • website
   • product
   • letter
   • information
   • details
   • file
   • document
   • important
   • approved
   • my
   • your


El cuerpo del mensaje:
– Contiene código HTML.
El cuerpo del mensaje es uno de los siguientes:

   • Your details.
     Your document.
     I have received your document. The corrected document is attached.
     I have attached your document.
     Your document is attached to this mail.
     Authentication required.
     Requested file.
     See the file.
     Please read the important document.
     Please confirm the document.
     Your file is attached.
     Please read the document.
     Your document is attached.
     Please read the attached file.
     Please see the attached file for details.


Y a continuación:

   • %nombre del archivo adjunto%: No virus found
     Powered by the new Norton OnlineScan
     Get protected: www.symantec.com


Archivo adjunto:
Los nombres de los ficheros adjuntos están compuestos de los siguientes elementos:

–  Empieza por uno de los siguientes:
   • important
   • improved
   • patched
   • corrected
   • approved
   • thanks!
   • hello
   • hi
   • here
   • document_all
   • text
   • message
   • data
   • excel document
   • word document
   • bill
   • screensaver
   • application
   • website
   • product
   • letter
   • information
   • details
   • file
   • document
   • important
   • approved
   • my
   • your

    Seguido por una de las siguientes extensiones falsas:
   • .zip
   • .pif
   • .exe
   • .scr



Algunos ejemplos de nombres de los ficheros adjuntos:
   • application.pif
   • application.scr
   • data.exe
   • details.zip
   • document.exe
   • document_all.scr
   • document_all_infoservice.pif
   • excel document.zip
   • file.pif
   • information_hot-line.zip
   • message.zip
   • product.pif
   • screensaver.scr
   • website_mts.zip

El archivo adjunto es una copia del propio programa malicioso.

 Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • .xml; .wsh; .jsp; .msg; .oft; .sht; .dbx; .tbb; .adb; .dhtm; .cgi;
      .shtm; .uin; .rtf; .vbs; .doc; .wab; .asp; .php; .txt; .eml; .html;
      .htm; .pl

 Informaciones diversas Serie de caracteres:
Además, incluye las siguientes series de caracteres:
   • <*>NetDy: Thanks to the SkyNet alias NetSky crew for the sourcecode.
   • <*>NetDy: We have rewritten NetSky.
   • <*>NetDy: Thats a good tactic to detroy the bagle and mydoom worms.
   • <*>NetDy: Our group will continue the war.
   • <*>NetDy: Malware writers 'End' comes true.
   • <*>NetDy: Our Social Engineering is the best *lol* (You have no virus symantec says!).
   • <*>NetDy: ----------------------------------------------------------------------------
   • <*>NetDy: We are greeting all russia people!

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Petre Galan el viernes 5 de marzo de 2010
Descripción actualizada por Petre Galan el lunes 8 de marzo de 2010

Volver . . . .