RSS | Foro | Encuestas | Mapa de nuestro sitio




Todas las amenazas

Virus

Hackers

Spam
Todo el sitio    Sólo virus
  
Enciclopedia de virus
Alertas
Análisis
Noticias
Glosario


El entorno de los programas maliciosos
Descripciones de los programas maliciosos
Los creadores de programas maliciosos
Historia de los programas maliciosos
Tendencias
Si su ordenador está infectado

 
Sobre hackers
About Hackers

Más información sobre hackers y vulnerabilidados en nuestra sección sobre hackers y vulnerabilidades.
Sobre spam
Sobre spam

Lea más sobre el spam y los spammers en nuestra sección sobre spam.

 		 

  Home / Virus / Enciclopedia de virus

Email-Worm.Win32.NetSky.x

Otras versiones: .aa, .b, .q, .t, .y

Alias
Email-Worm.Win32.NetSky.x (Kaspersky Lab) También conocido como: I-Worm.NetSky.x (Kaspersky Lab), W32/Netsky.w.eml!exe (NAI),   Win32.HLLM.Netsky.based (DrWeb),   Win32/Netsky.W@mm (RAV),   Worm/Netsky.W.1 (H+BEDV),   W32/Netsky.W@mm (FPROT),   Win32.Netsky.W@mm (BitDef7),   W32/Netsky.W.worm (Panda)
Descripción agregada 30 jun 2006
Comportamiento I-Worm
Detalles técnicos

Este gusano de propaga a través de Internet como un archivo adjunto a los mensajes infectados. Se envía a direcciones de correo electrónico recolectadas del equipo de la víctima.

El gusano se activa cuando el usuario ejecuta el archivo adjunto al hacer click sobre el archivo. Entonces el gusano se instalará y empezará a propagarse.

El gusano en sí es un archivo PE EXE , escrito en Microsoft Visual C++ y empaquetado usando UPX. Ees de aproximadamente 24KB de tamaño y el archivo sin empaquetar es de aproximadamente de 138KB.

Instalación

El gusano se copia al directorio raíz de Windows bajo el nombre "VisualGuard.exe":

%Windir%\VisualGuard.exe

y escribe este archivo en el registro del sistema de Windows

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"NetDy" = "%Windir%\VisualGuard.exe"

Esto asegura que el gusano se ejecutará cada vez que se reinicie Windows.

El gusano también crea los siguientes archivos en el directorio raíz de Windows:

%Windir%\base64.tmp 
%Windir%\zip1.tmp
%Windir%\zip2.tmp
%Windir%\zip3.tmp
%Windir%\zip4.tmp
%Windir%\zip5.tmp
%Windir%\zip6.tmp
%Windir%\zipped.tmp

El gusano crea el identificador único "NetDy_Mutex_Psycho" para señalar su presencia en el sistema.

Propagación por correo electrónico

El gusano recolecta direcciones de correo electrónico al examinar archivos con las siguientes extensiones:

.adb
.asp
.dbx
.cgi
.dhtm
.doc
.eml
.htm
.html
.jsp
.msg
.oft
.php
.pl
.rtf
.sht
.shtm
.tbb
.txt
.uin
.vbs
.wab
.wsh
.xml

Ulitiza su propia biblioteca SMTP para enviar mensajes a las direcciones recolectadas.

Mensajes infectados

Los mensajes infectados tienen como archivo adjunto:

Asunto del mensaje (elegido al azar de la lista de abajo):

Re:
approved
my
your
application
bill
corrected
data
details
document
document_all
excel document
file
hello
here
hi
important
improved 
information
letter
message
patched
product
read it immediately
screensaver
text
thanks!
website
word document

Cuerpo del mensaje (elegido al azar de la lista de abajo):

Authentication required.
I have attached your document.
I have received your document. The corrected document is attached.
Please confirm the document.
Please read the attached file.
Please see the attached file for details.
Please read the document.
Please read the important document.
Requested file.
See the file.
Your details.
Your document is attached to this mail.
Your document is attached.
Your document.
Your file is attached.

Firma del mensaje:

No virus found
Powered by the new Norton OnlineScan
Get protected: www.symantec.com

Nombre del archivo adjunto (elegido al azar de la lista de abajo):

application
approved
bill
data
details
document
document_all
excel document
file
important
improved 
information
letter
message
product
screensaver
text
website
word document

El archivo adjunto puede tener una de las siguientes extensiones:

exe
pif
scr
zip

Otros

El gusano eliminará los siguientes tipos de registro (si los encuentra):

Explorer
msgsvr32
Sentry
service
system
Taskmon
DELETE ME

de

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

También elimina los siguientes valores:

Taskmon
Explorer
d3dupdate.exe
au.exe
gouday.exe
rate.exe
sysmon.exe
srate.exe
ssate.exe
OLE
PINF

de

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

Netsky.x también elimina las siguientes códigos de registro:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"System" 
[HKLM\System\CurrentControlSet\Services]
"WksPatch"

Estas códigos y valores de registro se relacionan con otros gusanos de correo electrónico (algunas versiones de Email-Worm.Win32.Bagle y Email-Worm.Win32. Mydoom).

Email-Worm.Win32.NetSky.x continene los siguientes pedazos de texto:

<*>NetDy: Thanks to the SkyNet alias NetSky crew for the sourcecode.
<*>NetDy: We have rewritten NetSky.
<*>NetDy: Thats a good tactic to detroy the bagle and mydoom worms.
<*>NetDy: Our group will continue the war.
<*>NetDy: Malware writers 'End' comes true.
<*>NetDy: Our Social Engineering is the best *lol* (You have no virus
symantec says!).
<*>NetDy: ----------------------------------------------------------------------------
<*>NetDy: We are greeting all russia people!
USA SUCKS!!! AFGHAN SUCKS 2!!! BURN, SADDAM! BURN IN HELL! AND YOU,
OSAMA BIN LADEN,
BURN IN THE DEVILS FIRE 2!!!
SHAME ON YOU MR. BUSH!!!
 		 

Copyright © 1996 - 2010
Kaspersky Lab
Todos los derechos reservados

Correo electrónico: webmaster@viruslist.com