Otras versiones: .aa, .b, .q, .t, .x
Email-Worm.Win32.NetSky.y (Kaspersky Lab)
También conocido como:
I-Worm.NetSky.y (Kaspersky Lab),
W32/Netsky.x.eml!exe (NAI), W32.Netsky.X@mm (NAV), Win32.HLLM.Netsky.based (DrWeb), W32/Netsky-Y (Sophos), Win32/Netsky.X@mm (RAV), WORM_Netsky.X (PCCIL), Worm/Netsky.X (H+BEDV), W32/Netsky.X@mm (FPROT), Win32.Netsky.Y@mm (BitDef7), Worm.SomeFool.X-msg (Clamav), W32/Netsky.X.worm (Panda)
| Descripción agregada |
30 jun 2006 |
| Comportamiento |
I-Worm |
Este gusano se propaga a través de Internet como un archivo adjunto
a los mensajes infectados. Está escrito en Microsoft Visual C++ y empaquetado
usando PE_Patch+TeLock. El archivo empaquetado es de un tamaño de 26112
bytes, y sin empaquetar es de 28160 bytes.
Mensajes infectados
Las características de los mensajes infectados varían de acuerdo
al dominio:
Dirección del remitente:
hukanmikloiuo@yahoo.com
Dominio ".tc":
Asunto del mensaje
Re: belge
Cuerpo del mensaje
mutlu etmek okumak belgili tanimlik belge.
Nombre del archivo adjunto
belge.pif
Dominio ".se":
Asunto del mensaje
Re: dokumenten
Cuerpo del mensaje
Behaga läsa dokumenten.
Nombre del archivo adjunto
dokumenten.pif
Dominio ".fi":
Asunto del mensaje
Re: dokumentoida
Cuerpo del mensaje
Haluta kuulua dokumentoida.
Nombre del archivo adjunto
dokumentoida.pif
Dominio ".pl":
Asunto del mensaje
Re: udokumentowac
Cuerpo del mensaje
Podobac sie przeczytac ten udokumentowac.
Nombre del archivo adjunto
udokumentowac.pif
Dominio ".no":
Asunto del mensaje
Re: dokumentet
Cuerpo del mensaje
Behage lese dokumentet.
Nombre del archivo adjunto
dokumentet.pif
Dominio ".pt":
Asunto del mensaje
Re: original
Cuerpo del mensaje
Leia por favor o original.
Nombre del archivo adjunto
original.pif
Dominio ".it":
Asunto del mensaje
Re: documento
Cuerpo del mensaje
Legga prego il documento.
Nombre del archivo adjunto
documento.pif
Dominio ".fr":
Asunto del mensaje
Re: document
Cuerpo del mensaje
Veuillez lire le document.
Nombre del archivo adjunto
document.pif
Dominio ".de":
Asunto del mensaje
Re: dokument
Cuerpo del mensaje
Bitte lesen Sie das Dokument.
Nombre del archivo adjunto
dokument.pif
Otros Dominios:
Asunto del mensaje
Re: document
Cuerpo del mensaje
Please read the document.
Nombre del archivo adjunto
document.pif
El gusano se activa solamente si el usuario ejecuta el archivo infectado haciendo
doble click k sobre el archivo adjunto. Entonces el gusano se instalará
en el sistema y empezará a propagarse.
Instalación
Al ser instalado, el gusano se copia a la carpeta de Windows bajo el nombre
FirewallSvr.exe e inscribe este archivo en sección de autoejecución
del registro del sistema:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run\FirewallSvr]
Correo masivo
El gusano busca archivos con las extensiones adb, asp, dbx, doc, eml, htm,
html, msg, oft, php, pl, rtf, sht, tbb, txt, uin, vbs, y wab, recolecta direcciones
de correo electrónico y luego envía copias de sí mismo
a estas direcciones. Crea un archivo en el directorio de Windows llamado called
fuck_you_bagle.txt, incrusta su cuerpo en este archivo. Luego este archivo es
usado para generar mensajes infectados.
Administración a distancia
El gusano abre el puerto 82 y rastrea la actividad del puerto. La función
backdoor hace posible que los archivos puedan ser descargados en el equipo
víctima.
Otros
El gusano está programado para llevar a cabo ataques DoS entre el 27
y el 30 de Abril contra los siguientes servidores:
www.educa.ch
www.medinfo.ufl.edu
www.nibis.de
