RSS | Foro | Encuestas | Mapa de nuestro sitio




Todas las amenazas

Virus

Hackers

Spam
Todo el sitio    Sólo virus
  
Enciclopedia de virus
Alertas
Análisis
Noticias
Glosario


El entorno de los programas maliciosos
Descripciones de los programas maliciosos
Los creadores de programas maliciosos
Historia de los programas maliciosos
Tendencias
Si su ordenador está infectado

 
Sobre hackers
About Hackers

Más información sobre hackers y vulnerabilidados en nuestra sección sobre hackers y vulnerabilidades.
Sobre spam
Sobre spam

Lea más sobre el spam y los spammers en nuestra sección sobre spam.

 		 

  Home / Virus / Enciclopedia de virus

Email-Worm.Win32.NetSky.b

Otras versiones: .aa, .q, .t, .x, .y

Alias
Email-Worm.Win32.NetSky.b (Kaspersky Lab) También conocido como: I-Worm.NetSky.b (Kaspersky Lab), W32/Netsky.b@MM (NAI),   W32.Netsky.gen@mm (NAV),   Win32.HLLM.Netsky.based (DrWeb),   W32/Netsky-B (Sophos),   Win32/Netsky.B@mm (RAV),   WORM_NETSKY.GEN (PCCIL),   Worm/NetSky.B.2 (H+BEDV),   W32/Netsky.B@mm (FPROT),   Win32:Netsky-B (AVAST),   I-Worm/Netsky.B (AVG),   Win32.Netsky.B@mm (BitDef7),   Worm.SomeFool.Gen-unp (Clamav),   W32/Netsky.B.worm (Panda),   Win32/Netsky.B (Nod32)
Detección agregada 01 nov 2005 14:32 GMT
Actualización lanzada 01 nov 2005 15:59 GMT
Descripción agregada 30 jun 2006
Comportamiento I-Worm
Detalles técnicos
(También conocido como Moodown.b) Este gusano se propaga a través de Internet como un archivo adjunto a los mensajes de correos electrónicos infectados. El gusano en sí es un archivo PE EXE de aproximadamente 21KB de tamaño, comprimido utilizando UPX. El tamaño del archivo sin comprimir es de aproximadamente 40KB.

Instalación

Una vez ejecutado, el gusano muestra en la pantalla un falso mensaje de error: 'The file could not be opened'.

El gusano se copia al directorio de Windows bajo el nombre 'services.exe' y registra este archivo en las códigos de los registros deel registro en la sección de autoejecución del sistema:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
 "service" = "%windir%\services.exe -serv"
El gusano también crea el identificador único 'AdmSkynetJklS003' para señalar su presencia en la memoria.

El gusano crea un cierto número de copias de sí mismo en todos los subdirectorios de los discos C: a la Z: que contengan la palabra ‘share’ o ‘sharing’ (compartir o compartiendo) en el nombre del directorio. Las copias estarán bajo nombres elegidos de la siguiente lista: 

winxp_crack.exe
dolly_buster.jpg.pif
strippoker.exe
photoshop 9 crack.exe
matrix.scr
porno.scr
angels.pif
hardcore porn.jpg.exe
office_crack.exe
serial.txt.exe
cool screensaver.scr
eminem - lick my pussy.mp3.pif
nero.7.exe
virii.scr
e-book.archive.doc.exe
max payne 2.crack.exe
how to hack.doc.exe
programming basics.doc.exe
e.book.doc.exe
win longhorn.doc.exe
dictionary.doc.exe
rfc compilation.doc.exe
sex sex sex sex.doc.exe
doom2.doc.pif
También crea un cierto número de copias en formato ZIP, con nombres elegidos de la siguiente lista: 
document
msg
doc
talk
message
creditcard
details
attachment
me
stuff
posting
textfile
concert
information
note
bill
swimmingpool
product
topseller
ps
shower
aboutyou
nomoney
found
story
mails
website
friend
jokes
location
final
release
dinner
ranking
object
mail2
part2
disco
party
misc
#n#o#t#n#e#t#s#k#y#-#s#k#y#n#e#t#!

Propagación

El gusano encuentra archivos con extensiones adb, asp, dbx, doc, eml, htm, html, msg, oft, php, pl, rtf, sht, tbb, txt, uin, vbs y wab, busca en ellas las direcciones de correo electrónico y envía una copia de sí mismo a las direcciones encontradas. El gusano usa su propia biblioteca SMTP para enviar mensajes.

Los Asuntos y textos de los mensajes infectados son elegidos al azar de la siguiente lista:

unto del mensaje:

Hi
hi
hello
read it immediately
something for you
warning
information
stolen
fake
unknown

Cuerpo del mensaje:

AnythingOk?
anything ok?
what does it mean?
ok
i'm waiting
read the details.
here is the document.
read it immediately!
my hero
here
is that true?
is that your name?
is that your account?
i wait for a reply!
is that from you?
you are a bad writer
I have your password!
something about you!
kill the writer of this document!
i hope it is not true!
your name is wrong
i found this document about you
yes, really?
that is bad
here it is
see you
greetings
stuff about you?
something is going wrong!
information about you
about me
from the chatter
here, the serials
here, the introduction
here, the cheats
that's funny
do you?
reply
take it easy
why?
thats wrong
misc
you earn money
you feel the same
you try to steal
you are bad
something is going wrong
something is fool

Eliminación del gusano Mydoom

Moodown.b es similar a otros en el hecho de queporque tiene una función que elimina Mydoom de los equipos infectadaos por este gusano. Para hacer esto, busca los códigoslas claves del 'Explorer' y 'Taskmon' en las siguientes secciones del registro: 
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]
También elimina la siguiente llaveclave: 
[HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]

Otros

El gusano elimina los códigoslas claves 'KasperskyAv' y 'system.' del registro de Windows. 		 

Copyright © 1996 - 2010
Kaspersky Lab
Todos los derechos reservados

Correo electrónico: webmaster@viruslist.com