El nuevo gusano Netsky.C se convierte en el más propagado de los últimos días
por Azrael86 1Se ha detectado una nueva variante del gusano Netsky (W32/Netsky.C.worm), en este caso conocida como Netsky.C. El código es muy similar al de sus predecesores y se están contabiliznado un alto número de incidencias en todo el mundo, convirtiéndose el virus más detectado desde haces varios días por la solución online Panda ActiveScan.
La llegada de este virus a nuestro ordenador se produce mediante un correo electrónico cuya dirección de procedencia es falsa y cuyo asunto puede variar entre uno de los siguientes asuntos:
believe me
dear
Delivery Failed
denied!
error
exception
excuse me
fake?
good morning
hello
Here is it
hey
hi
illegal...
I'm back!
important
info
its me
last chance!
lol
moin
notice!
notification
oh
private?
question
Question
re:
Re: <5664ddff?$??º2>
Re: does it?
Re: does it?
Re: excuse me
Re: hello
Re: hey
Re: hi
Re: important
Re: information
Re: Re: Re: Re:
Re: unknown
read it immediatelly
report
something for you
Status
stolen
take it
trust me
warning
what's up?
Yep
you?
Entre los posibles cuerpos del mensaje, los más frecuentes son los siguientes:
*lol*
;-)
<...>
<<
09580985869gj
Antispam complete
Attached Msg
Attachment from Poland
Attachment Signature 34933920
Automailer
bad gateway
click the attCchment to decrypt
Deliver Error
Failed message available
Mail failed>
Message Error
null
scanned by norton antivirus
Server Error
Transfer complete
Warning from the Government
Además de estas características, el e-mail incluye un archivo, la mitad de las veces comprimidos, cuya extensión es doble, siendo la primera de ellas .DOC, .RTF, .HTM ó .TXT y la segunda .COM, .EXE, .PIF ó .SRC. El nombre del fichero puede variar entre los siguientes:
454543403, aboutyou, associal, attach2, attachment, auction, bill, birth, card, class_photos, concert, creditcard, death, description, details, dinner, disco, doc, doc_ang, document, final, found, freaky, friend, id, image, important, incest, information, injection, intimatestuff, jokes, letter, location, mail2, mails, masturbation, material, me, message, misc, moonlight, more, msg, msg2, music, myaunt, mydate, naked1, naked2, news, nomoney, note, nothing, number_phone, object, old_photos, part2, party, paypal, pic, portmoney, poster, posting, privacy, product, ps, ranking, regards, regid, release, response, schock, secrets, sexual, sexy, shower, story, stuff, swimmingpool, talk, tear, textfile, topseller, transfer, trash, undefinied, unfolds, update, violence, visa, warez, webcam, website, wife, word_doc, worker, your_stuff y yours.
Una vez el archivo es ejecutado, Netsky.C genera copias de si mismo con el nombre WINLOGON.EXE y se copia en todas las unidades del equipo.
Este virus se propaga gracias a su propio motor SMTP de correo, enviándose a todas las direcciones que encuentre en ficheros con extensiones .eml, .txt, .php, .pl, .htm, .html, .vbs, .rtf, .uin, .asp, .wab, .doc, .adb, .tbb, .dbx, .sht, .oft, .msg, .shtm, .cgi, y .dhtm y se copia en todas las carpetas del equipo que contengan en su nombre la secuencia de letras shar con el fin de propagarse usando aplicaciones P2P como KaZaA.
Una característica curiosa del payload de este virus es la emisión de una secuencia de sonidos característica que se escuchará a través del altavoz del equipo infectado el día 26 de febrero del presente año entre las 6:00 y las 9:00 horas.
Finalmente, este gusano añade las entradas al registro necesarias para asegurarse su ejecución cada vez que se encienda el equipo y borra las entradas que puedan existir debido a la infección de los gusanos Mydoom o Mimail.
Para comprobar si nuestro ordenador ha sido infectado por el virus y en caso afirmativo, eliminarlo, podemos recurrir a las utilidades de escaneo del ordenador en la sección Scan PC de esta misma página haciendo clic aquí.
Fin del Artículo. ¡Cuéntanos algo en los Comentarios!
