El nuevo gusano Netsky.C se convierte en el más propagado de los últimos días

por Azrael86 25/02/2004 ...

Se ha detectado una nueva variante del gusano Netsky (W32/Netsky.C.worm), en este caso conocida como Netsky.C. El código es muy similar al de sus predecesores y se están contabiliznado un alto número de incidencias en todo el mundo, convirtiéndose el virus más detectado desde haces varios días por la solución online Panda ActiveScan.

La llegada de este virus a nuestro ordenador se produce mediante un correo electrónico cuya dirección de procedencia es falsa y cuyo asunto puede variar entre uno de los siguientes asuntos:

believe me

dear

Delivery Failed

denied!

error

exception

excuse me

fake?

good morning

hello

Here is it

hey

hi

illegal...

I'm back!

important

info

its me

last chance!

lol

moin

notice!

notification

oh

private?

question

Question

re:

Re: <5664ddff?$??º2>

Re: does it?

Re: does it?

Re: excuse me

Re: hello

Re: hey

Re: hi

Re: important

Re: information

Re: Re: Re: Re:

Re: unknown

read it immediatelly

report

something for you

Status

stolen

take it

trust me

warning

what's up?

Yep

you?

Entre los posibles cuerpos del mensaje, los más frecuentes son los siguientes:

*lol*

;-)

<...>

<<>>

09580985869gj

Antispam complete

Attached Msg

Attachment from Poland

Attachment Signature 34933920

Automailer

bad gateway

click the attCchment to decrypt

Deliver Error

Failed message available

Mail failed>

Message Error

null

scanned by norton antivirus

Server Error

Transfer complete

Warning from the Government

Además de estas características, el e-mail incluye un archivo, la mitad de las veces comprimidos, cuya extensión es doble, siendo la primera de ellas .DOC, .RTF, .HTM ó .TXT y la segunda .COM, .EXE, .PIF ó .SRC. El nombre del fichero puede variar entre los siguientes:

454543403, aboutyou, associal, attach2, attachment, auction, bill, birth, card, class_photos, concert, creditcard, death, description, details, dinner, disco, doc, doc_ang, document, final, found, freaky, friend, id, image, important, incest, information, injection, intimatestuff, jokes, letter, location, mail2, mails, masturbation, material, me, message, misc, moonlight, more, msg, msg2, music, myaunt, mydate, naked1, naked2, news, nomoney, note, nothing, number_phone, object, old_photos, part2, party, paypal, pic, portmoney, poster, posting, privacy, product, ps, ranking, regards, regid, release, response, schock, secrets, sexual, sexy, shower, story, stuff, swimmingpool, talk, tear, textfile, topseller, transfer, trash, undefinied, unfolds, update, violence, visa, warez, webcam, website, wife, word_doc, worker, your_stuff y yours.

Una vez el archivo es ejecutado, Netsky.C genera copias de si mismo con el nombre WINLOGON.EXE y se copia en todas las unidades del equipo.

Este virus se propaga gracias a su propio motor SMTP de correo, enviándose a todas las direcciones que encuentre en ficheros con extensiones .eml, .txt, .php, .pl, .htm, .html, .vbs, .rtf, .uin, .asp, .wab, .doc, .adb, .tbb, .dbx, .sht, .oft, .msg, .shtm, .cgi, y .dhtm y se copia en todas las carpetas del equipo que contengan en su nombre la secuencia de letras shar con el fin de propagarse usando aplicaciones P2P como KaZaA.

Una característica curiosa del payload de este virus es la emisión de una secuencia de sonidos característica que se escuchará a través del altavoz del equipo infectado el día 26 de febrero del presente año entre las 6:00 y las 9:00 horas.

Finalmente, este gusano añade las entradas al registro necesarias para asegurarse su ejecución cada vez que se encienda el equipo y borra las entradas que puedan existir debido a la infección de los gusanos Mydoom o Mimail.

Para comprobar si nuestro ordenador ha sido infectado por el virus y en caso afirmativo, eliminarlo, podemos recurrir a las utilidades de escaneo del ordenador en la sección Scan PC de esta misma página haciendo clic aquí.


Tags: Redes