acerca de
contacto
términos y condiciones
glosario
  > buscador
 
  > búsqueda avanzada
 principal
 alertas
 listas de correo
 noticias
 bulos
 enciclopedia
 virus
 envío de muestras
 para webmasters
Herramientas contra:
 

(c) Paolo Monti
  Enciclopedia Virus
es una página de
 >  VIRUS: WIN32/NETSKY.P
  descripción
  nombre: Win32/Netsky.P
  aliases: Netsky.P, I-Worm.NetSky.q, W32/Netsky.Q, W32.Netsky.P@mm, W32/Netsky.p@MM, WORM_NETSKY.P, Win32/Netsky.P.Worm, W32/Netsky.P@mm, W32/Netsky.p@MM, WORM_NETSKY.GEN, Worm.Somefool.P
  tipo: Gusano de Internet
  fecha: 22/03/2004
  gravedad general:
Alta
  distribución: Ninguna
  daño:
Medio
  destructivo: Si
  origen: Desconocido
  nombre asignado por: ESET

 >  INFORMACION
Esta versión del Netsky fue reportada en las primeras horas del 22 de marzo de 2004. Algunos antivirus la detectan como la variante "Q". El texto de los mensajes simula haber sido examinado por diferentes antivirus, seleccionados al azar. Se propaga por correo electrónico y programas P2P. En el primer caso utiliza diversos asuntos y los archivos adjuntos pueden tener extensiones .PIF, .EXE, .SCR o .ZIP, y también agregar una doble extensión. Se vale de una antigua vulnerabilidad del Internet Explorer (5.x), que permite que se ejecute el adjunto por solo leer el mensaje o al verlo en la vista previa.

 >  CARACTERISTICAS

El gusano es un archivo de 29,568 bytes, que luego libera un DLL de 26,624 bytes.

Puede llegar en un mensaje como el siguiente:

De: [remitente falso]

Cualquier dirección de las obtenidas por el gusano en la máquina infectada.

Asunto: [uno de los siguientes]

  approved
  corrected
  hello
  here
  hi
  important
  improved
  patched
  Re: Administration
  Re: Bad Request
  Re: Delivery Protection
  Re: Delivery Server
  Re: Encrypted Mail
  Re: Error
  Re: Extended Mail
  Re: Extended Mail System
  Re: Failure
  Re: Mail Authentification
  Re: Mail Server
  Re: Message Error
  Re: Notify
  Re: Protected Mail Delivery
  Re: Protected Mail Request
  Re: Protected Mail System
  Re: Secure delivery
  Re: Secure SMTP Message
  Re: SMTP Server
  Re: Status
  Re: Test
  Re: Thank you for delivery
  read it immediately
  thanks!

Algunos de estos asuntos agregan un "Re:" al comienzo (aún los que ya lo tienen). Ejemplos:

  Re: Re: Notify
  Re: corrected

Texto del mensaje: [1]+[2]+[3]

Donde [1] es uno de los siguientes elementos:

  • Bad Gateway: The message has been attached.
  • Delivered message is attached.
  • Encrypted message is available.
  • ESMTP [Secure Mail System #334]: Secure message is attached.
  • First part of the secure mail is available. 
  • Follow the instructions t  read the message. 
  • For further details see the attachment. 
  • For more details see the attachment. 
  • Forwarded message is available. 
  • New message is available. 
  • Now a new message is available. 
  • Partial message is available. Waiting for a Response. Please read the attachment. 
  • Please authenticate the secure message. 
  • Please confirm my request. 
  • Please read the attachment t  get the message. 
  • Protected Mail System Test. 
  • Protected message is attached. 
  • Protected message is available. 
  • Secure Mail System Beta Test. 
  • SMTP: Please confirm the attached message.
  • Waiting for authentification.
  • You got a new message.
  • You have received an extended message. Please read the instructions.
  • Your requested mail has been attached.

[2] es uno de los siguientes textos:

  • Authentication required.
  • I have attached your document.
  • I have received your document. The corrected document is attached.
  • Please confirm the document.
  • Please read the attached file!
  • Please read the document.
  • Please read the important document.
  • Please see the attached file for details.
  • Requested file.
  • See the file.
  • Your details.
  • Your document is attached t  this mail.
  • Your document is attached.
  • Your document.
  • Your file is attached.

Y [3] es uno de los siguientes elementos:

  +++ Attachment: N  Virus found
  +++ MessageLabs AntiVirus - www.messagelabs.com
 
  +++ Attachment: N  Virus found
  +++ Bitdefender AntiVirus - www.bitdefender.com
 
  +++ Attachment: N  Virus found
  +++ MC-Afee AntiVirus - www.mcafee.com
 
  +++ Attachment: N  Virus found
  +++ Kaspersky AntiVirus - www.kaspersky.com
 
  +++ Attachment: N  Virus found
  +++ Panda AntiVirus - www.pandasoftware.com
 
  ++++ Attachment: N  Virus found
  ++++ Norman AntiVirus - www.norman.com
 
  ++++ Attachment: N  Virus found
  ++++ F-Secure AntiVirus - www.f-secure.com
 
  ++++ Attachment: N  Virus found
  ++++ Norton AntiVirus - www.symantec.de

Datos adjuntos: [varios nombres]

Ejemplos de algunos nombres de adjuntos:

  data
  details
  document
  message
  msg
  readme

En ocasiones agrega el nombre de usuario del correo electrónico al que se envía, separado por el carácter "_". Por ejemplo, si la dirección es juan@dominio.com, el adjunto podría tener uno de estos nombres:

  data_juan
  details_juan
  document_juan
  message_juan
  msg_juan
  readme_juan

Con algunas de estas extensiones:

  .doc [muchos espacios].exe
  .doc [muchos espacios].pif
  .doc [muchos espacios].scr
  .doc.exe
  .doc.pif
  .doc.scr
  .exe
  .pif
  .scr
  .txt [muchos espacios].exe
  .txt [muchos espacios].pif
  .txt [muchos espacios].scr
  .txt.exe
  .txt.pif
  .txt.scr
  .zip

Donde [muchos espacios] son de 60 a 80 espacios en blanco. Ejemplos de nombres de adjuntos (con el usuario juan@dominio.com):

  details.doc                     .scr
  msg_juan.scr
  readme.txt.exe
  data.txt                        .pif

Cuando el adjunto tiene extensión .ZIP, su contenido será uno de los siguientes:

  data.rtf [muchos espacios].scr
  details.txt [muchos espacios].pif
  document.txt [muchos espacios].exe

El gusano se vale de una antigua vulnerabilidad del Internet Explorer (5.x), que permite que se ejecute el adjunto por solo leer el mensaje o verlo en la vista previa (MIME header vulnerability). Ver http://www.microsoft.com/technet/security/bulletin/MS01-020.mspx. Este fallo no afecta al IE 6.0, ni a equipos con los parches actualizados.

Cuando se ejecuta, crea los siguientes archivos en el sistema infectado:

  c:\windows\fvprotect.exe
  c:\windows\userconfig9x.dll

El .EXE llama al archivo .DLL (que incluye una sola función), y lo ejecuta.

De acuerdo a la versión de sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").

Crea las siguientes entradas en el registro:

  HKLM\SOFTWARE\Microsoft\Windows
  \CurrentVersion\Run
  Norton Antivirus AV = c:\windows\fvprotect.exe

  HKLM\System\CurrentControlSet\Services\NPF

  HKLM\System\CurrentControlSet\Enum\Root\LEGACY_NPF

Acciones:

Para propagarse, el gusano busca direcciones de correo en todas las unidades de disco disponibles (excepto unidades de CD), dentro de archivos con las siguientes extensiones:

  .adb
  .asp
  .cgi
  .dbx
  .dhtm
  .doc
  .eml
  .htm
  .html
  .jsp
  .msg
  .oft
  .php
  .pl
  .rtf
  .sht
  .shtm
  .tbb
  .txt
  .uin
  .vbs
  .wab
  .wsh
  .xml

Cuando detecta una conexión a Internet establecida, el gusano comienza a enviarse a si mismo a todas las direcciones encontradas, en mensajes como los ya descriptos. Utiliza su propio motor SMTP y realiza consultas al servidor DNS de la instalación actual del usuario infectado.

Evita enviarse a direcciones que contengan estas cadenas:

  @antivi
  @avp
  @bitdefender
  @fbi
  @f-pro
  @freeav
  @f-secur
  @kaspersky
  @mcafee
  @messagel
  @microsof
  @norman
  @norton
  @pandasof
  @skynet
  @sophos
  @spam
  @symantec
  @viruslis
  abuse@
  noreply@
  ntivir
  reports@
  spam@

El gusano también examina el sistema en busca de carpetas compartidas por utilidades de intercambio de archivos entre usuarios, como KaZaa y otras. Clasifica de ese modo a todas las carpetas cuyos nombres incluyan alguna de estas cadenas:

  bear
  donkey
  download
  ftp
  htdocs
  http
  icq
  kazaa
  lime
  morpheus
  mule
  my shared folder
  shar
  shared files
  upload

En cada una de las carpetas cuyo nombre contenga algunas de esas cadenas, creará una copia de si mismo con los siguientes nombres:

  1001 Sex and more.rtf.exe
  3D Studio Max 6 3dsmax.exe
  ACDSee 10.exe
  Adobe Photoshop 10 crack.exe
  Adobe Photoshop 10 full.exe
  Adobe Premiere 10.exe
  Ahead Nero 8.exe
  Altkins Diet.doc.exe
  American Idol.doc.exe
  Arnold Schwarzenegger.jpg.exe
  Best Matrix Screensaver new.scr
  Britney sex xxx.jpg.exe
  Britney Spears and Eminem porn.jpg.exe
  Britney Spears blowjob.jpg.exe
  Britney Spears cumshot.jpg.exe
  Britney Spears fuck.jpg.exe
  Britney Spears full album.mp3.exe
  Britney Spears porn.jpg.exe
  Britney Spears Sexy archive.doc.exe
  Britney Spears Song text archive.doc.exe
  Britney Spears.jpg.exe
  Britney Spears.mp3.exe
  Clone DVD 6.exe
  Cloning.doc.exe
  Cracks & Warez Archiv.exe
  Dark Angels new.pif
  Dictionary English 2004 - France.doc.exe
  DivX 8.0 final.exe
  Doom 3 release 2.exe
  E-Book Archive2.rtf.exe
  Eminem blowjob.jpg.exe
  Eminem full album.mp3.exe
  Eminem Poster.jpg.exe
  Eminem sex xxx.jpg.exe
  Eminem Sexy archive.doc.exe
  Eminem Song text archive.doc.exe
  Eminem Spears porn.jpg.exe
  Eminem.mp3.exe
  Full album all.mp3.pif
  Gimp 1.8 Full with Key.exe
  Harry Potter 1-6 book.txt.exe
  Harry Potter 5.mpg.exe
  Harry Potter all e.book.doc.exe
  Harry Potter e book.doc.exe
  Harry Potter game.exe
  Harry Potter.doc.exe
  How to hack new.doc.exe
  Internet Explorer 9 setup.exe
  Kazaa Lite 4.0 new.exe
  Kazaa new.exe
  Keygen 4 all new.exe
  Learn Programming 2004.doc.exe
  Lightwave 9 Update.exe
  Magix Video Deluxe 5 beta.exe
  Matrix.mpg.exe
  Microsoft Office 2003 Crack best.exe
  Microsoft WinXP Crack full.exe
  MS Service Pack 6.exe
  netsky source code.scr
  Norton Antivirus 2005 beta.exe
  Opera 11.exe
  Partitionsmagic 10 beta.exe
  Porno Screensaver britney.scr
  RFC compilation.doc.exe
  Ringtones.doc.exe
  Ringtones.mp3.exe
  Saddam Hussein.jpg.exe
  Screensaver2.scr
  Serials edition.txt.exe
  Smashing the stack full.rtf.exe
  Star Office 9.exe
  Teen Porn 15.jpg.pif
  The Sims 4 beta.exe
  Ulead Keygen 2004.exe
  Visual Studio Net Crack all.exe
  Win Longhorn re.exe
  WinAmp 13 full.exe
  Windows 2000 Sourcecode.doc.exe
  Windows 2003 crack.exe
  Windows XP crack.exe
  WinXP eBook newest.doc.exe
  XXX hardcore pics.jpg.exe

El gusano intenta borrar las entradas en el registro de otros gusanos.

 >  INSTRUCCIONES PARA ELIMINARLO

1. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

2. Elimine bajo la columna "Nombre", la entrada "Norton Antivirus AV" en la siguiente clave del registro:

  HKLM\SOFTWARE\Microsoft
  \Windows\CurrentVersion\Run

3. Elimine las carpetas "NPF" y "LEGACY_NPF" de las siguientes entradas del registro:

  HKLM\System\CurrentControlSet
  \Services\NPF

  HKLM\System\CurrentControlSet
  \Enum\Root\LEGACY_NPF

4. Cierre el editor del registro.

5. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.

 

 

 


ALERTAS | NOTICIAS | ENCICLOPEDIA | PARA WEBMASTERS
términos y condiciones | ayuda | contacto | acerca de
  > lista de correo...  
 

Introduzca su email y reciba las últimas noticias sobre virus.

  
   

  > alertas  
  Los más vistos:  
 
   Win32/Etap.E
 
 
   Win32/Mytob.PI
 
 
   Win32/Sober.Y
 
 
   Win32/Bagle.BI
 
 
   Win32/Sober.R
 

  > últimos virus  
  Últimos 5 virus, con sus descripciones:  
 
   09-12 | Win32/Etap.E
 
 
   09-12 | LockScreen.HW
 
 
   09-12 | LockScreen.JN
 
 
   14-05 | Spy.Swisyn.AC
 
 
   14-05 | Win32/Witkinat.B
 

  > ránking  
  5 virus más detectados por INTECO-CERT para PYMES y Ciudadanos:  
 
   Win32/Netsky.P  |  36.20 %
 
 
   Win32/Netsky.B  |  29.80 %
 
 
   Win32/Netsky.Q  |  6.60 %
 
 
   Bagle.FU  |  3.50 %
 
 
   Zafi.Gen  |  2.50 %
 
 
facilitado por     
 

  > sabías que...  
 

... un troyano es un programa malicioso que se disfraza de algo inofensivo para infectar el ordenador. Esto hace referencia a la estrategia conocida hoy en día como "Caballo de troya".

 

ENCICLOPEDIA VIRUS 2002 - Todos los derechos reservados powered by