Alias

Email-Worm.Win32.NetSky.aa (Kaspersky Lab) También conocido como: W32/Netsky.z@MM (NAI),   W32.Netsky.Z@mm (NAV),   Win32.HLLM.Netsky.22016 (DrWeb),   W32/Netsky-AE (Sophos),   Win32/Netsky.Z@mm (RAV),   WORM_NETSKY.Z (PCCIL),   Worm/NetSky.AA (H+BEDV),   W32/Netsky.AK@mm (FPROT),   I-Worm/Netsky.Z (AVG),   Win32.Netsky.AA@mm (BitDef7),   Worm.SomeFool.AA-2 (Clamav),   W32/Netsky.Z.worm (Panda),   Win32/Netsky.Z (Nod32)

Detección agregada	03 dic 2004
Descripción agregada	07 jul 2006
Comportamiento	I-Worm

Detalles técnicos

Este gusano se propaga vía Internet como archivo adjunto a los mensajes de correo electrónico infectados.

Posee una función de “puerta trasera” (backdoor), y es capaz de conducir ataques de Denegación de Servicios (DoS) contra sitios de Internet.

El gusano en sí mismo es un archivo PE EXE de aproximadamente 20KB, comprimido usando UPX.

Instalación

El gusano se copia a sí mismo en el directorio de Windows bajo el nombre de Jammer2nd.exe, inscribe el siguiente archivo en el registro del sistema como archivo auto-ejecutable:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
 "Jammer2nd"="%windir%\jammer2nd.exe"

También crea los archivos PK_ZIP_ALG.LOG y PK_ZIP.LOG en el directorio de Windows.

Estos archivos son copias del gusano en formato UUE y en un archivo ZIP.

El gusano crea el mutex (S)(k)(y)(N)(e)(t) para señalar su presencia en el sistema.

Propagación por correo electrónico

El gusano busca archivos con las siguientes extensiones en todos los discos accesibles de la red: :

adb
asp
cfg
cgi
dbx
dhtm
doc
eml
htm
html
jsp

mbx
mdx
mht
mmf
msg
nch
ods
oft
php
pl
ppt

rtf
sht
shtm
stm
tbb
txt
uin
vbs
wab
wsh
xls

recolecta las direcciones de correo electrónico, enviando una copia de sí mismo a todas las direcciones encontradas. El gusano utiliza su propia biblioteca SMTP para enviar mensajes, y procura establecer una conexión al servidor que recibe los mensajes infectados.

Características de los mensajes infectados.

Los archivos infectados se generan al azar de la siguiente manera:

Dirección del remitente.

Es elegida al azar de las direcciones que encontró en la máquina de la víctima.

Encabezamiento del mensaje (elegido al azar de la lista de abajo)

Hello
Hi
Important
Important bill!
Important data!
Important details!
Important document!
Important informations!
Important notice!
Important textfile!
Important!
Information
Information

Archivo adjunto (elegido al azar de la lista de abajo)

Bill.zip
Data.zip
Details.zip
Important.zip
Informations.zip
Notice.zip
Part-2.zip
Textfile.zip

Los archivos adjuntos tendrán un nombre de la lista de abajo

Bill.txt.exe
Data.txt.exe
Details.txt.exe
Important.txt.exe
Informations.txt.exe
Notice.txt.exe
Part-2.txt.exe
Textfile.txt.exe

Otros

El virus abre el puerto 665 del TCP en la máquina de la víctima para recibir archivos al azar y ejecutarlos.

Dependiendo de los ajustes del reloj del sistema, el gusano puede conducir ataques de Denegación de Servicio (DoS) contra los siguientes sitios

www.educa.ch
www.medinfo.ufl.edu
www.nibis.de