Nombre:Worm/Netsky.S.1
Descubierto:31/03/2004
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:20.624 Bytes
Suma de control MD5:5bbb322a70a6a248369f45ece8d9e79b
Versión del IVDF:6.24.00.78 - miércoles 31 de marzo de 2004

 General Método de propagación:
   • Correo electrónico


Alias:
   •  Mcafee: W32/Netsky.r
   •  Sophos: W32/Netsky-R
   •  Panda: W32/Netsky.R.worm
   •  Eset: Win32/Netsky.P
   •  Bitdefender: Win32.Netsky.R@mm


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros dañinos
   • Contiene su propio motor para generar mensajes de correo
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %WINDIR%\pandaavengine.exe



Crea los siguientes ficheros:

%WINDIR%\uinmzertinmds.opm Los análisis adicionales indicaron que este fichero es también viral. Detectado como: Worm/Netsky.R

%WINDIR%\temp09094283.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: Worm/Netsky.S.2

 Registro Añade uno de los siguientes valores en el registro, para ejecutar los procesos al reiniciar el sistema:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "PandaAVEngine"="%WINDIR%\PandaAVEngine.exe"

 Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:
Emplea Messaging Application Programming Interface (MAPI) para enviar mensajes de correo. Las características están descritas a continuación:


Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.
– Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)
The subject of the email is constructed out of the (es)

    Empieza por uno de los siguientes:
   • Re:

    Y luego una de las siguientes:
   • Document

    Seguida por:
   • %número%


El cuerpo del mensaje:
– Contiene código HTML.
El cuerpo del mensaje es uno de los siguientes:

   • Your document is attached.


Y a continuación:

   • No virus found
     Powered by the new Norton OnlineScan
     Get protected:


Archivo adjunto:

–  Empieza por uno de los siguientes:
   • Document

Y luego una de las siguientes:
   • %número%

    Seguido por una de las siguientes extensiones falsas:
   • .pif

El archivo adjunto es una copia del propio programa malicioso.

 Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • .xml; .wsh; .jsp; .msg; .oft; .sht; .dbx; .tbb; .adb; .dhtm; .cgi;
      .shtm; .uin; .rtf; .vbs; .doc; .wab; .asp; .php; .txt; .eml; .html;
      .htm; .pl

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Petre Galan el viernes 5 de marzo de 2010
Descripción actualizada por Petre Galan el viernes 5 de marzo de 2010

Volver . . . .