Worm/NetSky.Q - Worm

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	Worm/Netsky.Q
Descubierto:	29/03/2004
Tipo:	Gusano
En circulación (ITW):	No
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Medio
Potencial dañino:	Bajo
Fichero estático:	Sí
Tamaño:	28.008 Bytes
Suma de control MD5:	04871d17dbbd1911afc76aad6d9dbd20
Versión del VDF:	6.24.0.75

General Método de propagación:
   • Correo electrónico

Alias:
   • Symantec: W32.Netsky.Q@mm
   • Mcafee: W32/Netsky.q@MM
   • Kaspersky: Email-Worm.Win32.NetSky.r
   • TrendMicro: WORM_NETSKY.Q
   • Grisoft: I-Worm/Netsky.R
   • VirusBuster: I-Worm.Netsky.R
   • Bitdefender: Win32.NetSky.Q@mm

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Suelta un fichero dañino
   • Contiene su propio motor para generar mensajes de correo
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software

Inmediatamente después de ejecutarse, inicia una aplicación de Windows que muestra la siguiente ventana:

Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %WINDIR%\sysmonxp.exe

Se copia a sí mismo en un archivo en la siguiente ubicación:
   • %WINDIR%\zippedbase64.tmp

Crea los siguientes ficheros:

– Copias codificadas MIME de si mismo:
   • %WINDIR%\base64.tmp
   • %WINDIR%\zipo0.txt
   • %WINDIR%\zipo1.txt
   • %WINDIR%\zipo2.txt
   • %WINDIR%\zipo3.txt

– %WINDIR%\firewalllogger.txt Los análisis adicionales indicaron que este fichero es también viral. Detectado como: Worm/NetSky.Q.Drp

Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "SysMonXP"="%WINDIR%\SysMonXP.exe"

Elimina las siguientes claves del registro, incluyendo todos sus valores y subclaves:
   • [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\PINF]
   • [HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]

Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:

Exploit:
Se aprovecha de la siguiente vulnerabilidad:
– MS01-020 (Incorrect MIME Header Can Cause IE to Execute E-mail Attachment)

De:
La dirección del remitente es falsa.

Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.

Asunto:
The subject of the email is constructed out of the (es)

    Empieza por uno de los siguientes:
   • Delivery Bot
   • Server Error
   • Deliver Mail
   • Delivery Failed
   • Unknown Exception
   • Failed
   • Failure
   • Status
   • Error
   • Delivered Message
   • Mail System
   • Mail Delivery System
   • Mail Delivery failure
   • Delivery
   • Delivery Failure
   • Delivery Error

    Y luego una de las siguientes:
   • %dirección de correo del destinatario%

El cuerpo del mensaje:
El cuerpo del mensaje es el siguiente:

   • Delivery Agent - Translation failed

     ------------- failed message -------------
     %serie de caracteres aleatorios%

   • Delivery Failure - Invalid mail specification

     ------------- failed message -------------
     %serie de caracteres aleatorios%

   • Mail Delivery Failure - This mail couldn't be shown.

     ------------- failed message -------------
     %serie de caracteres aleatorios%

   • Mail Delivery Failure - This mail couldn't be shown.

     ------------- failed message -------------
     %serie de caracteres aleatorios%

   • Mail Delivery System - This mail contains binary characters

     ------------- failed message -------------
     %serie de caracteres aleatorios%

   • Mail Transaction Failed - This mail couldn't be converted

     ------------- failed message -------------
     %serie de caracteres aleatorios%

   • Mail Delivery Error - This mail contains unicode characters

     ------------- failed message -------------
     %serie de caracteres aleatorios%

   • Mail Delivery Failed - This mail couldn't be represented

     ------------- failed message -------------
     %serie de caracteres aleatorios%

   • Mail Delivery - This mail couldn't be displayed

     ------------- failed message -------------
     %serie de caracteres aleatorios%

Y a continuación:

   • Note: Received message has been sent as a binary file.

   • Modified message has been sent as a binary attachment.

   • Received message has been sent as an encoded attachment.

   • Translated message has been attached.

   • Message has been sent as a binary attachment.

   • Received message has been attached.

   • Partial message is available and has been sent as a binary attachment.

   • The message has been sent as a binary attachment.

A veces seguido por:

   • Or you can view this message at:

     www.%dominio de los destinatarios%/inmail%el dominio del destinatario desde la dirección de correo%/mread.php/sessionid-%varios números aleatorios entre 0 - 9%

Archivo adjunto:
El nombre del fichero adjunto está compuesto de los siguientes elementos:

– Empieza por uno de los siguientes:
   • data
   • mail
   • msg
   • message

A veces seguido por una de las siguientes:
   • %varios números aleatorios entre 0 - 9%

    La extensión del fichero es una de las siguientes:
   • .pif
   • .zip

Algunos ejemplos de nombres de los ficheros adjuntos:
   • mail3729.zip
   • data14025.pif
   • message.pif

El mensaje de correo puede tener una de las siguientes formas:

Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • .ppt; .xls; .stm; .ods; .nch; .mmf; .mht; .mdx; .mbx; .cfg; .xml;
      .wsh; .jsp; .html; .htm; .pl; .dbx; .tbb; .adb; .dhtm; .cgi; .shtm;
      .uin; .rtf; .vbs; .msg; .oft; .sht; .doc; .wab; .asp; .php; .txt; .eml

Evita las direcciones:
No envía mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:
   • reports@; spam@; noreply@; @viruslis; ntivir; @sophos; @freeav;
      @pandasof; @skynet; @messagel; abuse@; @fbi; @norton; @f-pro;
      @kaspersky; @mcafee; @norman; @bitdefender; @f-secur; @avp; @spam;
      @symantec; @antivi; @microsof

DoS (Denegación de Servicios) inicia ataques DoS en las siguientes destinaciones:
   • www.edonkey2000.com
   • www.kazaa.com
   • www.emule-project.net
   • www.cracks.am
   • www.cracks.st

Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • _-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_

Serie de caracteres:
Además, incluye las siguientes series de caracteres:
   • We are the only SkyNet, we don't have any criminal inspirations.
   • Due to many reports, we do not have any backdoors included for spam relaying.
   • and we aren't children. Due to this, many reports are wrong.
   • We don't use any virus creation toolkits, only the higher language
   • Microsoft Visual C++ 6.0. We want to prevent hacker,.
   • cracking, sharing with illegal stuff and similar illegal content.
   • Hey, big firms only want to make a lot of money.
   • That is what we don't prefer. We want to solve and avoid it.
   • Note: Users do not need a new av-update, they need
   • a better education! We will envolope...
   • - Best regards, the SkyNet Antivirus Team, Russia 05:11 P.M -

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Para una breve descripción vea el resumen aquí.

Descripción insertada por Andrei Gherman el Thu, 29 Sep 2005 13:35 (GMT+1)
Descripción actualizada por Andrei Gherman el Fri, 30 Sep 2005 10:39 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« volver