WIN32/NETSKY.B

Gusano basado en el Netsky.A, reportado como de gran propagación en algunos países, el 18 de febrero de 2004. El gusano libera copias de si mismo, con una o dos extensiones y el icono de archivos de Word, copiándose también en carpetas compartidas.

Existe una posible infección cuando aparece un mensaje como el siguiente:

  Error
  The file could not be opened!
  [   OK   ]

Análisis:

El gusano es un archivo de 22,016 bytes.

Puede llegar en un mensaje como el siguiente:

De: [una dirección falsa]

Asunto: [uno de los siguientes]

  fake
  hello
  hi
  information
  read it immediately
  something for you
  stolen
  unknown
  warning

Texto del mensaje: [uno de los siguientes]

  about me
  anything ok?
  do you?
  from the chatter
  greetings
  here
  here is the document.
  here it is
  here, the cheats
  here, the introduction
  here, the serials
  i found this document about you
  I have your password!
  i hope it is not true!
  i wait for a reply!
  i"m waiting
  information about you
  is that from you?
  is that true?
  is that your account?
  is that your name?
  kill the writer of this document!
  misc
  my hero
  ok
  read it immediately!
  read the details.
  reply
  see you
  something about you!
  something is fool
  something is going wrong
  something is going wrong!
  stuff about you?
  take it easy
  that is bad
  that"s funny
  thats wrong
  what does it mean?
  why?
  yes, really?
  you are a bad writer
  you are bad
  you earn money
  you feel the same
  you try to steal
  your name is wrong

Datos adjuntos: [uno de los siguientes nombres]

  aboutyou
  attachment
  bill
  concert
  creditcard
  details
  dinner
  disco
  doc
  document
  final
  found
  friend
  information
  jokes
  location
  mail2
  mails
  me
  message
  misc
  msg
  nomoney
  note
  object
  part2
  party
  posting
  product
  ps
  ranking
  release
  shower
  story
  stuff
  swimmingpool
  talk
  textfile
  topseller
  website

El adjunto podrá tener alguna de estas extensiones:

  .com
  .doc
  .doc.com
  .doc.exe
  .doc.pif
  .doc.scr
  .exe
  .htm
  .htm.com
  .htm.exe
  .htm.pif
  .htm.scr
  .pif
  .rtf
  .rtf.com
  .rtf.exe
  .rtf.pif
  .rtf.scr
  .scr
  .txt
  .txt.com
  .txt.exe
  .txt.pif
  .txt.scr
  .zip

Cuando se ejecuta, crea los siguientes archivos en el sistema infectado:

  c:\windows\services.exe

De acuerdo a la versión de sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").

Crea la siguiente entrada en el registro:

  HKLM\SOFTWARE\Microsoft\Windows
  \CurrentVersion\Run
  service = c:\windows\services.exe -serv

Acciones:

Al ejecutarse, muestra una ventana de error falsa con el siguiente texto:

  Error
  The file could not be opened!
  [   OK   ]

Cuando el gusano encuentra alguna carpeta cuyo nombre contenga las palabras "sharing" o "share", se copia a si mismo a dichas carpetas con los siguientes nombres:

  angels.pif
  cool screensaver.scr
  dictionary.doc.exe
  dolly_buster.jpg.pif
  doom2.doc.pif
  e.book.doc.exe
  e-book.archive.doc.exe
  eminem - lick my pussy.mp3.pif
  hardcore porn.jpg.exe
  how to hack.doc.exe
  matrix.scr
  max payne 2.crack.exe
  nero.7.exe
  office_crack.exe
  photoshop 9 crack.exe
  porno.scr
  programming basics.doc.exe
  rfc compilation.doc.exe
  serial.txt.exe
  sex sex sex sex.doc.exe
  strippoker.exe
  virii.scr
  win longhorn.doc.exe
  winxp_crack.exe

También intenta borrar las siguientes entradas, correspondientes a otros gusanos (Mydoom A y B), y software antivirus:

  HKLM\SOFTWARE\Microsoft\Windows
  \CurrentVersion\Run
  Taskmon
  Explorer
  system.
  KasperskyAv

  HKCU\SOFTWARE\Microsoft\Windows
  \CurrentVersion\Run
  Taskmon
  Explorer

  HKLM\SOFTWARE\Microsoft\Windows
  \CurrentVersion\RunServices
  system.

  HKCR\CLSID
  \{E6FB5E20-DE35-11CF-9C87-00AA005127ED}
  \InProcServer32

El gusano busca direcciones de correo en todas las unidades de disco de la C a la Z (excepto unidades de CD), dentro de archivos con las siguientes extensiones:

  .adb
  .asp
  .dbx
  .doc
  .eml
  .htm
  .html
  .msg
  .oft
  .php
  .pl
  .rtf
  .sht
  .tbb
  .txt
  .uin
  .vbs
  .wab

Cuando detecta una conexión a Internet establecida, el gusano comienza a propagarse a si mismo. Primero genera un .ZIP conteniendo una copia de si mismo. El nombre del archivo y el de su contenido es el mismo (con diferente extensión), y es seleccionado al azar de la siguiente lista:

  aboutyou
  attachment
  bill
  concert
  creditcard
  details
  dinner
  disco
  doc
  document
  final
  found
  friend
  information
  jokes
  location
  mail2
  mails
  me
  message
  misc
  msg
  nomoney
  note
  object
  part2
  party
  posting
  product
  ps
  ranking
  release
  shower
  story
  stuff
  swimmingpool
  talk
  textfile
  topseller
  website

Los ejecutables del gusano tendrán una o dos extensiones, la primera de ellas una de las siguientes:

  .doc
  .htm
  .rtf
  .txt

La segunda extensión puede ser una de las siguientes:

  .com
  .exe
  .pif
  .scr

El archivo ZIP tendrá el mismo nombre, pero con la extensión .ZIP.

Ejemplos:

  shower.zip -> shower.doc.exe
  website.zip -> website.pif
  mail2.zip -> mail2.com

Este ZIP será el adjunto de los mensajes que envíe. También puede enviar como adjunto, uno de los ejecutables creados.

Forma de eleminar:

1. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

2. Elimine bajo la columna "Nombre", la entrada "service" en la siguiente clave del registro:

  HKLM\SOFTWARE\Microsoft
  \Windows\CurrentVersion\Run

3. Cierre el editor del registro.

4. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.