domingo, 1 de febrero de 2009
Algunas formas de eliminar Netsky con McAfee
PARA ELIMINAR EL W32/Netsky
-W32/Netsky-A
El gusano usa el correo electrónico para propagarse a nuevos ordenadores, es fácil reconocerlo ya que viene con el asunto;
Asunto: Auction successful!
Para ser infectado por este gusano tiene que ejecutar el fichero adjunto si lo realiza le mostrara el siguiente mensaje;
Error
The file could not be opened!
[ OK ]
Si usted ya tiene infectado su ordenador, borre el siguiente archivo;
c:/windows/services.exe o c:/winnt/services.exe
Tenga cuidado y no borre el archivo original de Windows que se encuentra en;
c:/windows/system/services.exe o c:/winnt/system32/services.exe
-W32/Netsky-B
Igual que la variante "A" el gusano usa el correo electrónico y que viene con el asunto;
Asunto: Auction successful!
Para ser infectado por este gusano tiene que ejecutar el fichero adjunto si lo realiza le mostrara el siguiente mensaje;
Error
The file could not be opened!
[ OK ]
Nunca ejecute ningún fichero sin antes comprobar si esta limpio.
Herramientas para eliminar W32/Netsky.B
McAfee
http://download.nai.com/products/mcafee-avert/stinger.exe
-W32/Netsky-C
Mas variantes de este gusano y que también hay herramientas para limpiar el ordenador.
McAfee
http://download.nai.com/products/mcafee-avert/stinger.exe
-W32/Netsky-D
Se repite pero esta nueva variantes se esta propagando mas rápidamente.
Herramienta para limpiarlo
McAfee
http://download.nai.com/products/mcafee-avert/stinger.exe
-W32/Netsky-E
Última variante (a día 3-3-2004) del Netsky.
Para borrar esta variante y las anteriores mencionadas borre el siguiente archivo;
c:/windows/services.exe o c:/winnt/services.exe
Tenga cuidado y NO borre el archivo original de Windows que se encuentra en;
c:/windows/system/services.exe o c:/winnt/system32/services.exe
WIN32/NETSKY.B
Existe una posible infección cuando aparece un mensaje como el siguiente:
Error
The file could not be opened!
[ OK ]
Análisis:
El gusano es un archivo de 22,016 bytes.
Puede llegar en un mensaje como el siguiente:
De: [una dirección falsa]
Asunto: [uno de los siguientes]
fake
hello
hi
information
read it immediately
something for you
stolen
unknown
warning
Texto del mensaje: [uno de los siguientes]
about me
anything ok?
do you?
from the chatter
greetings
here
here is the document.
here it is
here, the cheats
here, the introduction
here, the serials
i found this document about you
I have your password!
i hope it is not true!
i wait for a reply!
i"m waiting
information about you
is that from you?
is that true?
is that your account?
is that your name?
kill the writer of this document!
misc
my hero
ok
read it immediately!
read the details.
reply
see you
something about you!
something is fool
something is going wrong
something is going wrong!
stuff about you?
take it easy
that is bad
that"s funny
thats wrong
what does it mean?
why?
yes, really?
you are a bad writer
you are bad
you earn money
you feel the same
you try to steal
your name is wrong
Datos adjuntos: [uno de los siguientes nombres]
aboutyou
attachment
bill
concert
creditcard
details
dinner
disco
doc
document
final
found
friend
information
jokes
location
mail2
mails
me
message
misc
msg
nomoney
note
object
part2
party
posting
product
ps
ranking
release
shower
story
stuff
swimmingpool
talk
textfile
topseller
website
El adjunto podrá tener alguna de estas extensiones:
.com
.doc
.doc.com
.doc.exe
.doc.pif
.doc.scr
.exe
.htm
.htm.com
.htm.exe
.htm.pif
.htm.scr
.pif
.rtf
.rtf.com
.rtf.exe
.rtf.pif
.rtf.scr
.scr
.txt
.txt.com
.txt.exe
.txt.pif
.txt.scr
.zip
Cuando se ejecuta, crea los siguientes archivos en el sistema infectado:
c:\windows\services.exe
De acuerdo a la versión de sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").
Crea la siguiente entrada en el registro:
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
service = c:\windows\services.exe -serv
Acciones:
Al ejecutarse, muestra una ventana de error falsa con el siguiente texto:
Error
The file could not be opened!
[ OK ]
Cuando el gusano encuentra alguna carpeta cuyo nombre contenga las palabras "sharing" o "share", se copia a si mismo a dichas carpetas con los siguientes nombres:
angels.pif
cool screensaver.scr
dictionary.doc.exe
dolly_buster.jpg.pif
doom2.doc.pif
e.book.doc.exe
e-book.archive.doc.exe
eminem - lick my pussy.mp3.pif
hardcore porn.jpg.exe
how to hack.doc.exe
matrix.scr
max payne 2.crack.exe
nero.7.exe
office_crack.exe
photoshop 9 crack.exe
porno.scr
programming basics.doc.exe
rfc compilation.doc.exe
serial.txt.exe
sex sex sex sex.doc.exe
strippoker.exe
virii.scr
win longhorn.doc.exe
winxp_crack.exe
También intenta borrar las siguientes entradas, correspondientes a otros gusanos (Mydoom A y B), y software antivirus:
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
Taskmon
Explorer
system.
KasperskyAv
HKCU\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
Taskmon
Explorer
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunServices
system.
HKCR\CLSID
\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}
\InProcServer32
El gusano busca direcciones de correo en todas las unidades de disco de la C a la Z (excepto unidades de CD), dentro de archivos con las siguientes extensiones:
.adb
.asp
.dbx
.doc
.eml
.htm
.html
.msg
.oft
.php
.pl
.rtf
.sht
.tbb
.txt
.uin
.vbs
.wab
Cuando detecta una conexión a Internet establecida, el gusano comienza a propagarse a si mismo. Primero genera un .ZIP conteniendo una copia de si mismo. El nombre del archivo y el de su contenido es el mismo (con diferente extensión), y es seleccionado al azar de la siguiente lista:
aboutyou
attachment
bill
concert
creditcard
details
dinner
disco
doc
document
final
found
friend
information
jokes
location
mail2
mails
me
message
misc
msg
nomoney
note
object
part2
party
posting
product
ps
ranking
release
shower
story
stuff
swimmingpool
talk
textfile
topseller
website
Los ejecutables del gusano tendrán una o dos extensiones, la primera de ellas una de las siguientes:
.doc
.htm
.rtf
.txt
La segunda extensión puede ser una de las siguientes:
.com
.exe
.pif
.scr
El archivo ZIP tendrá el mismo nombre, pero con la extensión .ZIP.
Ejemplos:
shower.zip -> shower.doc.exe
website.zip -> website.pif
mail2.zip -> mail2.com
Este ZIP será el adjunto de los mensajes que envíe. También puede enviar como adjunto, uno de los ejecutables creados.
Forma de eleminar:
1. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.
2. Elimine bajo la columna "Nombre", la entrada "service" en la siguiente clave del registro:
HKLM\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run
3. Cierre el editor del registro.
4. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.
WIN32/NETSKY.P
Esta versión del Netsky fue reportada en las primeras horas del 22 de marzo de 2004. Algunos antivirus la detectan como la variante "Q". El texto de los mensajes simula haber sido examinado por diferentes antivirus, seleccionados al azar. Se propaga por correo electrónico y programas P2P. En el primer caso utiliza diversos asuntos y los archivos adjuntos pueden tener extensiones .PIF, .EXE, .SCR o .ZIP, y también agregar una doble extensión. Se vale de una antigua vulnerabilidad del Internet Explorer (5.x), que permite que se ejecute el adjunto por solo leer el mensaje o al verlo en la vista previa.
El gusano es un archivo de 29,568 bytes, que luego libera un DLL de 26,624 bytes.
Puede llegar en un mensaje como el siguiente:
De: [remitente falso]
Cualquier dirección de las obtenidas por el gusano en la máquina infectada.
Asunto: [uno de los siguientes]
approved
corrected
hello
here
hi
important
improved
patched
Re: Administration
Re: Bad Request
Re: Delivery Protection
Re: Delivery Server
Re: Encrypted Mail
Re: Error
Re: Extended Mail
Re: Extended Mail System
Re: Failure
Re: Mail Authentification
Re: Mail Server
Re: Message Error
Re: Notify
Re: Protected Mail Delivery
Re: Protected Mail Request
Re: Protected Mail System
Re: Secure delivery
Re: Secure SMTP Message
Re: SMTP Server
Re: Status
Re: Test
Re: Thank you for delivery
read it immediately
thanks!
Algunos de estos asuntos agregan un "Re:" al comienzo (aún los que ya lo tienen). Ejemplos:
Re: Re: Notify
Re: corrected
Texto del mensaje: [1]+[2]+[3]
Donde [1] es uno de los siguientes elementos:
Bad Gateway: The message has been attached.- Delivered message is attached.
- Encrypted message is available.
- ESMTP [Secure Mail System #334]: Secure message is attached.
- First part of the secure mail is available.
- Follow the instructions t read the message.
- For further details see the attachment.
- For more details see the attachment.
- Forwarded message is available.
- New message is available.
- Now a new message is available.
- Partial message is available. Waiting for a Response. Please read the attachment.
- Please authenticate the secure message.
- Please confirm my request.
- Please read the attachment t get the message.
- Protected Mail System Test.
- Protected message is attached.
- Protected message is available.
- Secure Mail System Beta Test.
- SMTP: Please confirm the attached message.
- Waiting for authentification.
- You got a new message.
- You have received an extended message. Please read the instructions.
- Your requested mail has been attached.
[2] es uno de los siguientes textos:
- Authentication required.
- I have attached your document.
- I have received your document. The corrected document is attached.
- Please confirm the document.
- Please read the attached file!
- Please read the document.
- Please read the important document.
- Please see the attached file for details.
- Requested file.
- See the file.
- Your details.
- Your document is attached t this mail.
- Your document is attached.
- Your document.
- Your file is attached.
Y [3] es uno de los siguientes elementos:
+++ Attachment: N Virus found
+++ MessageLabs AntiVirus - www.messagelabs.com
+++ Attachment: N Virus found
+++ Bitdefender AntiVirus - www.bitdefender.com
+++ Attachment: N Virus found
+++ MC-Afee AntiVirus - www.mcafee.com
+++ Attachment: N Virus found
+++ Kaspersky AntiVirus - www.kaspersky.com
+++ Attachment: N Virus found
+++ Panda AntiVirus - www.pandasoftware.com
++++ Attachment: N Virus found
++++ Norman AntiVirus - www.norman.com
++++ Attachment: N Virus found
++++ F-Secure AntiVirus - www.f-secure.com
++++ Attachment: N Virus found
++++ Norton AntiVirus - www.symantec.de
Datos adjuntos: [varios nombres]
Ejemplos de algunos nombres de adjuntos:
data
details
document
message
msg
readme
En ocasiones agrega el nombre de usuario del correo electrónico al que se envía, separado por el carácter "_". Por ejemplo, si la dirección es juan@dominio.com, el adjunto podría tener uno de estos nombres:
data_juan
details_juan
document_juan
message_juan
msg_juan
readme_juan
Con algunas de estas extensiones:
.doc [muchos espacios].exe
.doc [muchos espacios].pif
.doc [muchos espacios].scr
.doc.exe
.doc.pif
.doc.scr
.exe
.pif
.scr
.txt [muchos espacios].exe
.txt [muchos espacios].pif
.txt [muchos espacios].scr
.txt.exe
.txt.pif
.txt.scr
.zip
Donde [muchos espacios] son de 60 a 80 espacios en blanco. Ejemplos de nombres de adjuntos (con el usuario juan@dominio.com):
details.doc .scr
msg_juan.scr
readme.txt.exe
data.txt .pif
Cuando el adjunto tiene extensión .ZIP, su contenido será uno de los siguientes:
data.rtf [muchos espacios].scr
details.txt [muchos espacios].pif
document.txt [muchos espacios].exe
El gusano se vale de una antigua vulnerabilidad del Internet Explorer (5.x), que permite que se ejecute el adjunto por solo leer el mensaje o verlo en la vista previa (MIME header vulnerability). Verhttp://www.microsoft.com/technet/security/bulletin/MS01-020.mspx. Este fallo no afecta al IE 6.0, ni a equipos con los parches actualizados.
Cuando se ejecuta, crea los siguientes archivos en el sistema infectado:
c:\windows\fvprotect.exe
c:\windows\userconfig9x.dll
El .EXE llama al archivo .DLL (que incluye una sola función), y lo ejecuta.
De acuerdo a la versión de sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").
Crea las siguientes entradas en el registro:
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
Norton Antivirus AV = c:\windows\fvprotect.exe
HKLM\System\CurrentControlSet\Services\NPF
HKLM\System\CurrentControlSet\Enum\Root\LEGACY_NPF
Acciones:
Para propagarse, el gusano busca direcciones de correo en todas las unidades de disco disponibles (excepto unidades de CD), dentro de archivos con las siguientes extensiones:
.adb
.asp
.cgi
.dbx
.dhtm
.doc
.eml
.htm
.html
.jsp
.msg
.oft
.php
.pl
.rtf
.sht
.shtm
.tbb
.txt
.uin
.vbs
.wab
.wsh
.xml
Cuando detecta una conexión a Internet establecida, el gusano comienza a enviarse a si mismo a todas las direcciones encontradas, en mensajes como los ya descriptos. Utiliza su propio motor SMTP y realiza consultas al servidor DNS de la instalación actual del usuario infectado.
Evita enviarse a direcciones que contengan estas cadenas:
@antivi
@avp
@bitdefender
@fbi
@f-pro
@freeav
@f-secur
@kaspersky
@mcafee
@messagel
@microsof
@norman
@norton
@pandasof
@skynet
@sophos
@spam
@symantec
@viruslis
abuse@
noreply@
ntivir
reports@
spam@
El gusano también examina el sistema en busca de carpetas compartidas por utilidades de intercambio de archivos entre usuarios, como KaZaa y otras. Clasifica de ese modo a todas las carpetas cuyos nombres incluyan alguna de estas cadenas:
bear
donkey
download
ftp
htdocs
http
icq
kazaa
lime
morpheus
mule
my shared folder
shar
shared files
upload
En cada una de las carpetas cuyo nombre contenga algunas de esas cadenas, creará una copia de si mismo con los siguientes nombres:
1001 Sex and more.rtf.exe
3D Studio Max 6 3dsmax.exe
ACDSee 10.exe
Adobe Photoshop 10 crack.exe
Adobe Photoshop 10 full.exe
Adobe Premiere 10.exe
Ahead Nero 8.exe
Altkins Diet.doc.exe
American Idol.doc.exe
Arnold Schwarzenegger.jpg.exe
Best Matrix Screensaver new.scr
Britney sex xxx.jpg.exe
Britney Spears and Eminem porn.jpg.exe
Britney Spears blowjob.jpg.exe
Britney Spears cumshot.jpg.exe
Britney Spears fuck.jpg.exe
Britney Spears full album.mp3.exe
Britney Spears porn.jpg.exe
Britney Spears Sexy archive.doc.exe
Britney Spears Song text archive.doc.exe
Britney Spears.jpg.exe
Britney Spears.mp3.exe
Clone DVD 6.exe
Cloning.doc.exe
Cracks & Warez Archiv.exe
Dark Angels new.pif
Dictionary English 2004 - France.doc.exe
DivX 8.0 final.exe
Doom 3 release 2.exe
E-Book Archive2.rtf.exe
Eminem blowjob.jpg.exe
Eminem full album.mp3.exe
Eminem Poster.jpg.exe
Eminem sex xxx.jpg.exe
Eminem Sexy archive.doc.exe
Eminem Song text archive.doc.exe
Eminem Spears porn.jpg.exe
Eminem.mp3.exe
Full album all.mp3.pif
Gimp 1.8 Full with Key.exe
Harry Potter 1-6 book.txt.exe
Harry Potter 5.mpg.exe
Harry Potter all e.book.doc.exe
Harry Potter e book.doc.exe
Harry Potter game.exe
Harry Potter.doc.exe
How to hack new.doc.exe
Internet Explorer 9 setup.exe
Kazaa Lite 4.0 new.exe
Kazaa new.exe
Keygen 4 all new.exe
Learn Programming 2004.doc.exe
Lightwave 9 Update.exe
Magix Video Deluxe 5 beta.exe
Matrix.mpg.exe
Microsoft Office 2003 Crack best.exe
Microsoft WinXP Crack full.exe
MS Service Pack 6.exe
netsky source code.scr
Norton Antivirus 2005 beta.exe
Opera 11.exe
Partitionsmagic 10 beta.exe
Porno Screensaver britney.scr
RFC compilation.doc.exe
Ringtones.doc.exe
Ringtones.mp3.exe
Saddam Hussein.jpg.exe
Screensaver2.scr
Serials edition.txt.exe
Smashing the stack full.rtf.exe
Star Office 9.exe
Teen Porn 15.jpg.pif
The Sims 4 beta.exe
Ulead Keygen 2004.exe
Visual Studio Net Crack all.exe
Win Longhorn re.exe
WinAmp 13 full.exe
Windows 2000 Sourcecode.doc.exe
Windows 2003 crack.exe
Windows XP crack.exe
WinXP eBook newest.doc.exe
XXX hardcore pics.jpg.exe
El gusano intenta borrar las entradas en el registro de otros gusanos.
Forma de eliminar:
1. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.
2. Elimine bajo la columna "Nombre", la entrada "Norton Antivirus AV" en la siguiente clave del registro:
HKLM\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run
3. Elimine las carpetas "NPF" y "LEGACY_NPF" de las siguientes entradas del registro:
HKLM\System\CurrentControlSet
\Services\NPF
HKLM\System\CurrentControlSet
\Enum\Root\LEGACY_NPF
4. Cierre el editor del registro.
5. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.